Angreifer könnten Drupal-Webseiten ausspionieren
Im Versionsstrang 8.x klafft eine als kritisch eingestufte Sicherheitslücke. Abgesicherte Versionen schließen die Schwachstelle.
Admins sollten ihre Drupal-Installation prüfen: Alle Versionen vor 8.2.8 und 8.3.1 sind verwundbar. Der Versionsstrang 7.x ist laut den Entwicklern nicht gefährdet. Die Sicherheitslücke mit der Kennung CVE-2017-6919 gilt als kritisch. Das Notfall-Team des BSI CERT Bund stuft das Risiko als "sehr hoch" ein. Aufgrund des Schweregrads der Schwachstelle bekommt sogar die sich eigentlich nicht mehr im Support befindliche Version 8.2.x ein Sicherheitsupdate spendiert.
Nutzen Angreifer die Lücke aus, sollen sie aus der Ferne auf Informationen einer Drupal-Webseite zugreifen können. Der Sicherheitswarnung zufolge ist aber nur gefährdet, wer das Modul RESTful Web Services aktiviert hat und dessen Seite Patch-Anfragen zulässt. Zudem muss ein Angreifer einen Account auf der ins Visier genommenen Webseite anlegen können. (des)
