zurück zum Artikel

Eine neue Drupal-Version soll immun gegen das Belauschen über die httpoxy-Schwachstelle sein.

Die Entwickler des Content Management Systems (CMS) Drupal haben die Version 8.1.7 veröffentlicht. In dieser haben sie eigenen Angaben zufolge die httpoxy-Schwachstelle geschlossen. Sie stufen die Lücke in einer Sicherheits-Warnung [1] als besonders kritisch ein.

Angreifer können an der httpoxy-Schwachstelle ansetzen, um unter gewissen Umständen Datenverkehr umzuleiten und mitzulesen [2]. Nutzer der Drupal-Version 7.x sollen nicht direkt davon bedroht sein. Die Entwickler weisen aber auf mögliche Konstellationen mit gefährdeter Software von Drittanbietern hin. Drupal 8 sei direkt betroffen, da diese Version die für die Lücke anfällige PHP-Bibliothek Guzzle enthält, erläutern die Entwickler.

Das Sicherheits-Problem wurde bereits im März 2001 entdeckt. Erst kürzlich stieß die Software-Entwicklungs-Firma Vend erneut auf die Schwachstelle [3] und analysierte sie tiefgehend. (des [4])

URL dieses Artikels:
https://www.heise.de/-3271575

Links in diesem Artikel:
[1] https://www.drupal.org/SA-CORE-2016-003
[2] https://www.heise.de/news/httpoxy-Trivial-ausnutzbare-Luecke-leitet-Server-Traffic-um-3270546.html
[3] https://medium.com/we-build-vend/how-the-internets-biggest-blind-spot-lead-to-a-15-year-old-security-vulnerability-a2a6f6218a71#.endbpgm07
[4] mailto:des@heise.de

Copyright © 2016 Heise Medien