l+f: Analyse des Drupal-Desasters
Wie konnte das nur passieren? MĂĽssen wir alle sterben?
Die kĂĽrzlich bekannt gewordene LĂĽcke in Drupal hatte dramatische Folgen. Anthony Ferrara analysiert nicht nur die LĂĽcke selbst, sondern auch, wie es ĂĽberhaupt dazu kommen konnte, wie das Drupal-Team reagierte und was man daraus lernen kann. TL;DR: Shit happens.
Stefan Horst von Sektion Eins liefert ĂĽbrigens einen Proof-of-Concept-Exploit, der die PHP-Funktion phpinfo() in die Datenbank einschleust und ausfĂĽhrt.
In eigener Sache: Sie müssen in Zukunft nicht mehr bis zum Freitag auf unser beliebtes "lost+found" warten. Wir werden die News-Schnipsel jetzt direkt als ultrakurze l+f-Meldungen veröffentlichen.
lost+found: Die heise-Security-Rubrik für Kurzes, Skuriles und manchmal auch Triviales aus dem Bereich IT-Security – mehr davon – als RSS
(ju)
