Drupageddon
Die auf den Namen Drupageddon getaufte und als Highly Critical eingestufte Schwachstelle SA-CORE-2014-005 wurde durch Zufall in einem Security Audit entdeckt, welches das Sicherheitsunternehmen SektionEins im Auftrag eines Kunden durchgeführt hatte.
Die Security-Experten sind dabei auf eine kritische Schwachstelle im Drupal-Core gestoßen, die dort offensichtlich bereits seit dem Jahr 2011 lauert.
With this bug an attacker can gain full control over all Drupal sites (Admin privileges), without knowledge of internals or authentication on the site. He can even execute PHP Code without leaving a trace in any log.
Die Sicherheitslücke wurde umgehend an das Drupal-Security-Team kommuniziert (siehe Kommentarbereich). Wer weiterführende Informationen sucht, dem sei das Advisory 01/2014: Drupal – pre Auth SQL Injection Vulnerability von SektionEins ans Herz gelegt.
There probably won’t be a tomorrow
Die Lage ist ernst. Sehr ernst.
If you do not upgrade your Drupal sites tonight there probably won’t be a tomorrow. #drupageddon
— Stefan Esser (@i0n1c) 15. Oktober 2014
Mit der Veröffentlichung eines PoC wollte SektionEins warten, bis genügend auf Drupal basierende Websites die Gelegenheit hatten, die Schwachstelle zu stopfen. Zwischenzeitlich ist jedoch auf reddit eben ein solcher Proof of Concept aufgetaucht (auf den ich aus verständlichen Gründen nicht verlinken möchte, Anm. d. Red.), mit dessen Hilfe der Account mit der User-ID 1 ersetzt wird; inklusive Passwortänderung.
Betroffen von dieser Schwachstelle – und von diesem PoC – sind alle Drupal-Installationen der 7.x-Reihe vor Drupal 7.32. Genau diese Version steht seit gestern zum Download bereit.
Keine Zeit für einen Core-Update?
Bei einer derartigen Schwachstelle sollte die Ausrede „Keine Zeit“ beim besten Willen nicht gelten. Dennoch hat Amber Himes Matz drei schnelle Möglichkeiten des Updates vorgestellt. So hat man die Wahl, einen Hotfix einzuspielen, via drush den Core auf Vordermann zu bringen oder den Drupal Core manuell upzugraden.
Alle relevanten Informationen findet man im Post Tips for Applying Today’s Drupal Core Security Update.
Aufmacherbild: Drupageddon / Urheberrecht: SektionEins