zurück zum Artikel

Die Drupal-Entwickler haben eine gefährliche Schwachstelle im Content Management System geschlossen.

Angreifer könnten mit dem CMS Drupal erstellte Websites attackieren und schlimmstenfalls übernehmen. Abgesicherte Versionen schließen die als kritisch eingestufte Sicherheitslücke (CVE-2019-6340).

Wie ein Angriff im Detail ablaufen könnte, ist bislang unklar. Drupal zufolge kommt es bei einigen Feldern zu Fehlern bei der Verarbeitung von Eingaben. Dadurch könnten Angreifer unter Umständen eigenen PHP-Code ausführen.

Voraussetzungen für Attacke

Seiten sind aber nur angreifbar, wenn bei Drupal 8/7 das RESTful-Web-Services-Modul aktiviert ist und PATCH- oder POST-Requests erlaubt sind. Websites mit aktivierten Service-Modulen wie JSON:API sind ebenfalls attackierbar.

Abgesichert sind die Versionen 8.5.11 und 8.6.10. Um Drupal 7 abzusichern, sind nur Updates von einigen Modulen notwendig, führen die Entwickler in einer Warnmeldung aus [1]. Als Workaround können Web-Admins auch alle Service-Module deaktivieren oder PUT/PATCH/POST-Requests verbieten. (des [2])

URL dieses Artikels:
https://www.heise.de/-4314371

Links in diesem Artikel:
[1] https://www.drupal.org/sa-core-2019-003
[2] mailto:des@heise.de

Copyright © 2019 Heise Medien