Unverschlüsselte CMS-Updates: Drupal gelobt Besserung

Die System-Updates des freien Content-Management-Systems (CMS) Drupal werden im Klartext übertragen – ein Problem, das seit 2012 bekannt ist. Jetzt hat der Blog-Post eines Sicherheitsforschers der Firma IOActive erneutes Leben in die Diskussion über diese Schwachstelle gebracht. Das Drupal-Sicherheitsteam will sich nun endlich der Aufgabe annehmen, den Update-Prozess sicherer zu machen. Drupal ist eins der beliebtesten CMS-Pakete unter Open-Source-Lizenz und wird unter anderem vom Weißen Haus und einigen Platten-Labeln eingesetzt, um ihre Webseiten zu bauen.

Insgesamt hat der Forscher drei Schwachstellen im Update-Prozess von Drupal identifiziert. Zum einen warnen die Versionen 7 und 8 des CMS nicht mehr, wenn der Update-Prozess fehlschlägt, sondern zeigen an, dass das System auf dem aktuellen Stand ist. Zum andern kann der Link, mit dem ein Nutzer manuell nach Aktualisierungen suchen kann, von einem Angreifer dazu missbraucht werden, Denial-of-Service-Angriffe auf die Drupal-Update-Server zu fahren. Allerdings funktioniert das nicht bei Drupal 8. Da die Server auch im Normalbetrieb große Traffic-Fluten aushalten müssen, sind sie laut der Drupal-Entwickler genug abgehärtet, um solche Angriffe in der Regel auszuhalten.

Die unverschlüsselten Updates sind mit Abstand das schwerwiegendste der drei Probleme. Ein Angreifer im selben Netz wie ein Drupal-Admin kann diesem manipulierte Update-Dateien unterschieben und auf diesem Wege die Kontrolle über das CMS übernehmen. Laut einem Blog-Eintrag auf der Drupal-Seite, arbeiten die Entwickler daran, dass Updates in Zukunft nur noch über SSL/TLS ausgeliefert werden. Nutzer, die auf Nummer Sicher gehen wollen, können die Updates auch jetzt schon manuell im Browser über eine HTTPS-Verbindung herunterladen. (fab)