Sicherheitsleck in Drupal-CMS entdeckt
Quelle: Ioactive

Sicherheitsleck in Drupal-CMS entdeckt

Eine unsichere Update-Routine im Content Management System Drupal ermöglicht es Angreifern, auf den Systemen Code auszuführen und sich der Datenbank-Credentials zu bemächtigen. Betroffen sind alle Versionen des CMS.
8. Januar 2016

     

Wie diverse Medien melden, haben Experten vom Security-Spezialisten Ioactive Schwachstellen in der Content-Management-Lösung Drupal entdeckt, die es potentiellen Angreifern ermöglichen, über eine Man-in-the-Middle-Attacke Code auszuführen und sich der Datenbank-Credentials zu bemächtigen. Das Problem steckt offenbar im Upgrade-Prozess des CMS, bei dem die Updates unverschlüsselt übertragen und nicht verifiziert werden. Zudem werden die Drupal-Anwender nicht informiert, wenn ein Update fehlgeschlagen hat, wobei fälschlicherweise eine erfolgreiche Aktualisierung angezeigt wird. Gemäss den Ioactive-Analysen sind derzeit alle Drupal-Versionen vom Leck betroffen, inklusive dem in diesen Tagen veröffentlichten Release 8.02. Ein Patch steht aktuell noch nicht zur Verfügung.


Das Open-Source-CMS Drupal basiert auf PHP und zählt neben Wordpress und Joomla zu den am meisten eingesetzten Content-Management-Lösungen. (rd)


Weitere Artikel zum Thema

23'000 PHP-Server mit Malware infiziert

30. November 2014 - Eine Malware, die sich in Themes und Plug-ins für CMS wie Drupal oder Wordpress versteckt, macht derzeit die Runde und reiht die infizierten Server in ein Botnetz ein.

Drupal-Websites aufs Höchste gefährdet

2. November 2014 - Unzählige Webseiten mit Drupal-CMS sind offenbar Opfer einer Hackerattacke geworden. In vielen Fällen bleibt nichts anderes übrig, als die Systeme mit einem zwei Wochen alten Backup zu restoren.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Wieviele Fliegen erledigte das tapfere Schneiderlein auf einen Streich?
GOLD SPONSOREN
SPONSOREN & PARTNER