t3n News Software

Gefahr für Drupal-Nutzer: Update-Prozess soll das CMS angreifbar machen

Gefahr für Drupal-Nutzer: Update-Prozess soll das CMS angreifbar machen

Der Update-Mechanismus von soll Nutzern anzeigen, sie hätten die aktuelle Version des , obwohl das Update fehlgeschlagen ist. Außerdem soll sich der Mechanismus auch dazu nutzen lassen, Schadsoftware auf dem System einzuschleusen.

Gefahr für Drupal-Nutzer: Update-Prozess soll das CMS angreifbar machen

Drupal. (Foto: Gábor Hojtsy / Flickr Lizenz: CC BY-SA 2.0)

Drupal: Fehlerhafter Update-Prozess sorgt für Probleme

Mehr als eine Million Websites setzen das Content-Management-System Drupal ein. Viele Nutzer von Drupal 7 und 8 könnten allerdings eine veraltete Version einsetzen, ohne es zu wissen. Nach Angaben des Sicherheitsexperten Fernando Arnaboldi zeigt der automatische Update-Mechanismus den Nutzern an, sie hätten die neuste Version, auch wenn der Update-Prozess aufgrund von Netzwerkproblemen fehlgeschlagen ist. So könnten sich Drupal-Nutzer in falscher Sicherheit wiegen.

Drupal: Der automatische Update-Mechanismus ist anscheinend fehlerhaft. (Screenshot: IOActive)
Drupal: Der automatische Update-Mechanismus ist anscheinend fehlerhaft. (Screenshot: IOActive)

Immerhin besteht die Möglichkeit, manuell nach Updates zu suchen. Wie Arnaboldi berichtet, besteht hier aber eine weitere Gefahr. Zumindest unter Drupal 7 lädt das CMS eine XML-Datei von Drupal.org über eine unverschlüsselte HTTP-Verbindung herunter, in der sich die Informationen über aktuelle Updates befinden. Über eine Man-in-the-Middle-Attacke könnten Angreifer dem Drupal-Nutzer daher ein manipuliertes Update unterjubeln. Immerhin scheint Drupal 8 davor allerdings geschützt zu sein.

Drupal: Nutzer sollten sich nicht auf den automatischen Update-Mechanismus verlassen

Derzeit gibt es keinen Patch für die oben erwähnten Probleme. Arnaboldi rät Drupal-Nutzern daher, Updates für Drupal und Add-ons manuell herunterzuladen. Das Problem dabei: Niemand hat vermutlich die Zeit, ständig nach Updates Ausschau zu halten. Wie wichtig es aber ist, das CMS möglichst schnell auf den neusten Stand zu bringen, zeigt ein Fall von Oktober 2014. Innerhalb kurzer Zeit verschafften sich Angreifer damals Zugriff auf Drupal-Systeme, die ein aktuelles Sicherheitsupdate nicht schnell genug installiert hatten.

Ebenfalls interessant in diesem Zusammenhang ist unser Artikel „Drupal 8: Verbesserte Usability, einfacher Export von Einstellungen und responsives Backend“.

via www.theregister.co.uk

Newsletter

Bleibe immer up-to-date. Sichere dir deinen Wissensvorsprung!

Vorheriger Artikel Zurück zur Startseite Nächster Artikel
Eine Antwort
  1. von grep am 09.01.2016 (14:48 Uhr)

    Hallo ...,


    'dass' ist wieder 'ein' Grund 'mehr' auf ein CMS zu verzichten wenn dies problemlos möglich ist, denn ... alles steht und fällt mit einer (dieser) Software - unnötigerweise !


    Ciao, Sascha.

    Antworten Teilen
Deine Meinung

Bitte melde dich an!

Du musst angemeldet sein, um einen Kommentar schreiben zu können.

Jetzt anmelden

Mehr zum Thema CMS
WordPress, Drupal, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (Februar)
WordPress, Drupal, TYPO3 CMS und Co.: Die wichtigsten Updates für die wichtigsten CMS (Februar)

Bei den großen CMS und einem Blog-System gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem Februar stellen wir euch hier … » weiterlesen

Von Publishern für Publisher: Burda stellt neues Open-Source-CMS auf Drupal-Basis vor
Von Publishern für Publisher: Burda stellt neues Open-Source-CMS auf Drupal-Basis vor

Der Medienkonzern Burda hat mit Thunder ein quelloffenes Content-Management-System auf Basis von Drupal 8 veröffentlicht. Das Unternehmen will so weitere Partner aus der Medienbranche gewinnen, um … » weiterlesen

WordPress, Joomla!, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS (Januar)
WordPress, Joomla!, Drupal und Co.: Die wichtigsten Updates für die wichtigsten CMS (Januar)

Bei den großen CMS und einem Blog-System gibt es regelmäßig Updates, die neue Funktionen liefern oder Sicherheitslücken schließen. Die wichtigsten Updates aus dem Januar stellen wir euch hier … » weiterlesen

Alle Hefte Jetzt abonnieren – für nur 35 €

Kennst Du schon unser t3n Magazin?