Sicherheitsupdates: Kritische Lücke verwundet Drupal

Die Drupal-Entwickler haben eine gefährliche Schwachstelle im Content Management System geschlossen.

In Pocket speichern vorlesen Druckansicht 3 Kommentare lesen
Sicherheitsupdates: Kritische Sicherheitslücke verwundet Drupal
Lesezeit: 1 Min.

Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren und schlimmstenfalls übernehmen. Abgesicherte Versionen schließen die als kritisch eingestufte Sicherheitslücke (CVE-2019-6340).

Wie ein Angriff im Detail ablaufen könnte, ist bislang unklar. Drupal zufolge kommt es bei einigen Feldern zu Fehlern bei der Verarbeitung von Eingaben. Dadurch könnten Angreifer unter Umständen eigenen PHP-Code ausführen.

Seiten sind aber nur angreifbar, wenn bei Drupal 8/7 das RESTful-Web-Services-Modul aktiviert ist und PATCH- oder POST-Requests erlaubt sind. Websites mit aktivierten Service-Modulen wie JSON:API sind ebenfalls attackierbar.

Abgesichert sind die Versionen 8.5.11 und 8.6.10. Um Drupal 7 abzusichern, sind nur Updates von einigen Modulen notwendig, führen die Entwickler in einer Warnmeldung aus. Als Workaround können Web-Admins auch alle Service-Module deaktivieren oder PUT/PATCH/POST-Requests verbieten. (des)