l+f: Analyse des Drupal-Desasters
Wie konnte das nur passieren? Müssen wir alle sterben?
Die kürzlich bekannt gewordene Lücke in Drupal hatte dramatische Folgen. Anthony Ferrara analysiert nicht nur die Lücke selbst, sondern auch, wie es überhaupt dazu kommen konnte, wie das Drupal-Team reagierte und was man daraus lernen kann. TL;DR: Shit happens.
Stefan Horst von Sektion Eins liefert übrigens einen Proof-of-Concept-Exploit, der die PHP-Funktion phpinfo() in die Datenbank einschleust und ausführt.
In eigener Sache: Sie müssen in Zukunft nicht mehr bis zum Freitag auf unser beliebtes "lost+found" warten. Wir werden die News-Schnipsel jetzt direkt als ultrakurze l+f-Meldungen veröffentlichen.
lost+found: Die heise-Security-Rubrik für Kurzes, Skuriles und manchmal auch Triviales aus dem Bereich IT-Security – mehr davon – als RSS
(ju)
