Jetzt patchen! Kritische Lücken in Drupal gefährden ganze Websites
Aufgrund von mehreren Schwachstellen sollten Web-Admins zügig ihre Drupal-Installation auf den aktuellen Stand bringen.
Im Content Management System (CMS) Drupal klaffen mehrere, zum Teil als "kritische" eingestufte Sicherheitslücken. Fehlerbereinigte Versionen sind verfügbar. Da Angreifer die Kontrolle über Websites erlangen könnten, sollte die flinke Aktualisierung des CMS sichergestellt sein.
Die Entwickler haben die Schwachstellen in den Drupal-Ausgaben 7.60, 8.5.8 und 8.6.2 geschlossen. Wer noch ältere Versionen einsetzt, sollte mindestens auf 8.5.x aktualisieren. Dieser Versionsstrang erhält den Entwicklern zufolge noch bis zum Mai 2019 Sicherheitsupdates.
In der Sicherheitswarnung stehen Infos zu den Lücken. Die als kritisch eingestuften Schwachstellen finden sich im Contextual-Links-validation-Modul und im Mailsystem DefaultMailSystem::mail() von Drupal. Derzeit ist nicht viel über die Angriffsszenarien bekannt. Offenbar kann allein der Versand von präparierten Mails zur Ausführung von Schadcode führen. (des)