Drupageddon: Kritische Sicherheitslücke in Drupal-7-Core
Kommentare

Das Sicherheitsunternehmen SektionEins hat eine höchst kritische Sicherheitslücke im Open-Source-Content-Management-System Drupal aufgedeckt. Eine Schwachstelle im Database Abstraction API, das eigentlich Angriffe über SQL Injections verhindern soll, sorgt dafür, dass Angreifer die volle Kontrolle über die Drupal-Installation erlangen können („full control over the database“, wie auf drupageddon.com zu lesen ist). Betroffen davon sind alle Drupal-7-Installationen vor Drupal 7.32.

Drupageddon

Die auf den Namen Drupageddon getaufte und als Highly Critical eingestufte Schwachstelle SA-CORE-2014-005 wurde durch Zufall in einem Security Audit entdeckt, welches das Sicherheitsunternehmen SektionEins im Auftrag eines Kunden durchgeführt hatte.

Die Security-Experten sind dabei auf eine kritische Schwachstelle im Drupal-Core gestoßen, die dort offensichtlich bereits seit dem Jahr 2011 lauert.

With this bug an attacker can gain full control over all Drupal sites (Admin privileges), without knowledge of internals or authentication on the site. He can even execute PHP Code without leaving a trace in any log.

Die Sicherheitslücke wurde umgehend an das Drupal-Security-Team kommuniziert (siehe Kommentarbereich). Wer weiterführende Informationen sucht, dem sei das Advisory 01/2014: Drupal – pre Auth SQL Injection Vulnerability von SektionEins ans Herz gelegt.

There probably won’t be a tomorrow

Die Lage ist ernst. Sehr ernst.

Mit der Veröffentlichung eines PoC wollte SektionEins warten, bis genügend auf Drupal basierende Websites die Gelegenheit hatten, die Schwachstelle zu stopfen. Zwischenzeitlich ist jedoch auf reddit eben ein solcher Proof of Concept aufgetaucht (auf den ich aus verständlichen Gründen nicht verlinken möchte, Anm. d. Red.), mit dessen Hilfe der Account mit der User-ID 1 ersetzt wird; inklusive Passwortänderung.

Betroffen von dieser Schwachstelle – und von diesem PoC – sind alle Drupal-Installationen der 7.x-Reihe vor Drupal 7.32. Genau diese Version steht seit gestern zum Download bereit.

Keine Zeit für einen Core-Update?

Bei einer derartigen Schwachstelle sollte die Ausrede „Keine Zeit“ beim besten Willen nicht gelten. Dennoch hat Amber Himes Matz drei schnelle Möglichkeiten des Updates vorgestellt. So hat man die Wahl, einen Hotfix einzuspielen, via drush den Core auf Vordermann zu bringen oder den Drupal Core manuell upzugraden.

Alle relevanten Informationen findet man im Post Tips for Applying Today’s Drupal Core Security Update.

Aufmacherbild: Drupageddon / Urheberrecht: SektionEins

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -