Update für Drupal 7 schließt Worst-Case-Sicherheitslücke
Die Sicherheitslücke, die unter dem Namen "Drupageddon" firmiert, ermöglicht es, die betroffene Webseite direkt zu übernehmen. Betreiber sollten schnellstmöglich ein Update einspielen. Drupal ist weltweit eine der beliebtesten Open-Source-CMS-Lösungen.
- Karsten Violka
Das Drupal Security Team hat ein Update veröffentlicht, das eine kritische Sicherheitslücke schließt. Angreifer können ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Kommandos ausführen und so die komplette Webseite übernehmen. Drupal wird für eine Reihe berühmter Webseiten verwendet, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan.
Seitenbetreiber, die Drupal 7 installiert haben, sollten schnellstmöglich das Core-Update einspielen. Wer den Core seines Drupal-Systems kurzfristig nicht austauschen kann, sollte einen Patch anwenden, der die kritische Codezeile ändert. Die ältere Drupal-Version 6 ist von diesem konkreten Problem nicht betroffen. Die Lücke klafft in der neueren Datenbank-Schicht, die mit Drupal 7 eingeführt wurde.
Das deutsche Sicherheitsunternehmen SektionEins, das den Fehler bereits im September entdeckt hat, beschreibt das Problem in seinem eigenen Advisory. Drupals Security Team hat zusätzlich eine FAQ veröffentlicht.
Siehe dazu auch:
- Drupal bei heise Download