Sicherheitsupdate für extrem kritische Lücke in Drupal ist da

Die Entwickler des Content Management System (CMS) Drupal haben mehrere Sicherheitsupdates für eine äußerst kritische Sicherheitslücke (CVE-2018-7600) veröffentlicht. Sie raten dazu, das CMS so schnell wie möglich zu aktualisieren.

Passiert das nicht, sollen Angreifer mit Drupal 7.x und 8.x gebaute Webseiten komplett übernehmen können. Davon sind laut den Entwicklern mehr als eine Million Seiten bedroht. Drupal versichert, dass es derzeit keine Angriffe gibt. Sie warnen aber auch, dass sich ein Exploit wahrscheinlich vergleichsweise einfach entwickeln lässt. Angriffe könnten also in naher Zukunft starten.

Die Ausgaben 7.58 und 8.5.1 sind abgesichert. Wer diese momentan nicht updaten kann, greift alternativ zu einem Patch, den die Entwickler in ihrer Sicherheitswarnung verlinken. Die Lücke ist offensichtlich so schwerwiegend, dass Drupal sogar Sicherheitsupdates für die eigentlich nicht mehr im Support befindlichen Versionsstränge 8.3.x und 8.4.x zur Verfügung stellt. Hier stehen die abgesicherten Ausgaben 8.3.9 und 8.4.6 bereit. Auch Drupal 6 und 8.2.x sind bedroht. Wer eine dieser veralteten Versionen einsetzt, muss auf eine aktuelle updaten, raten die Entwickler. Für Drupal 6 gibt es noch einen inoffiziellen Patch.

Angriff und Auswirkungen

In einer FAQ zur Lücke steht, dass sich ein Übergriff durch den alleinigen Besuch einer verwundbaren Webseite einleiten lassen soll. Dafür würden keine speziellen Nutzerrechte benötigt. Die Schwachstelle klafft Drupal zufolge im Kern des CMS und ermöglicht das Ausführen von Schadcode. Angreifer sollen alle Daten der Webseite modifizieren und löschen können. Eine erfolgreich angegriffene Seite gilt als vollständig kompromittiert, warnen die Entwickler. Weitere Details zum Angriffsszenario hält Drupal aufgrund des hohen Angriffsrisikos zurück. (des)