Sicherheitsleck in Drupal-CMS entdeckt
Sicherheitsleck in Drupal-CMS entdeckt
(Quelle: Ioactive)
8. Januar 2016 -
Eine unsichere Update-Routine im Content Management System Drupal ermöglicht es Angreifern, auf den Systemen Code auszuführen und sich der Datenbank-Credentials zu bemächtigen. Betroffen sind alle Versionen des CMS.
Wie diverse Medien melden, haben Experten vom Security-Spezialisten Ioactive Schwachstellen in der Content-Management-Lösung Drupal entdeckt, die es potentiellen Angreifern ermöglichen, über eine Man-in-the-Middle-Attacke Code auszuführen und sich der Datenbank-Credentials zu bemächtigen. Das Problem steckt offenbar im Upgrade-Prozess des CMS, bei dem die Updates unverschlüsselt übertragen und nicht verifiziert werden. Zudem werden die Drupal-Anwender nicht informiert, wenn ein Update fehlgeschlagen hat, wobei fälschlicherweise eine erfolgreiche Aktualisierung angezeigt wird. Gemäss den Ioactive-Analysen sind derzeit alle Drupal-Versionen vom Leck betroffen, inklusive dem in diesen Tagen veröffentlichten Release 8.02. Ein Patch steht aktuell noch nicht zur Verfügung.
Das Open-Source-CMS Drupal basiert auf PHP und zählt neben Wordpress und Joomla zu den am meisten eingesetzten Content-Management-Lösungen. (rd)
Das Open-Source-CMS Drupal basiert auf PHP und zählt neben Wordpress und Joomla zu den am meisten eingesetzten Content-Management-Lösungen. (rd)