Updates für Drupal 6, 7 und 8 werden vorbereitet

Drupal Update am 28. März wegen kritischer Sicherheitslücke
Keine Kommentare

Das Drupal Security Team hat für den 28. März 2018 ein Sicherheitsupdate für eine hochkritische Sicherheitslücke angekündigt. Der Patch soll für Drupal in den Versionen 7.x, 8.3.x, 8.4.x, und 8.5.x am 28. März zwischen 18:00 – 19:30 UTC erscheinen.

Das Drupal Security Team fordert in seiner dringlichen Ankündigung die entsprechenden Drupal-Nutzer auf, die angekündigten Updates am Zieltermin schnell zu aktualisieren, da Exploits innerhalb von Stunden oder Tagen entwickelt werden könnten. Um welche Sicherheitslücke es sich dabei genau handelt, wird nicht berichtet, da man wohl potentiellen Angreifern nicht vorgreifen möchte.

Sicherheitsupdate für Drupal 6, 7 und 8

Obwohl Drupal 8.3.x und 8.4.x nicht mehr unterstützt werden und normalerweise keine Sicherheitsupdates mehr für nicht mehr unterstützte Versionen bereitgestellt werden, bietet Drupal angesichts des möglichen Schweregrads dieses Problems auch gefixte Versionen für 8.3.x und 8.4.x für Websites, die noch nicht auf Version 8.5.0 aktualisiert werden konnten. Das Drupal-Sicherheitsteam empfiehlt zudem Folgendes:

  • Sites unter 8.3.x sollten sofort auf die Version 8.3.x aktualisieren, die in der Advisory bereitgestellt wird, und dann im nächsten Monat auf die neueste 8.5.x-Sicherheitsversion aktualisieren.
  • Sites auf 8.4.x sollten sofort auf die Version 8.4.x aktualisieren, die in der Advisory bereitgestellt wird, und dann im nächsten Monat auf die neueste 8.5.x-Sicherheitsversion aktualisieren.
  • Sites auf 7.x oder 8.5.x können sofort aktualisiert werden, wenn das Advisory mit dem normalen Verfahren veröffentlicht wird.

Der Sicherheitshinweis listet die entsprechenden Versionsnummern für alle drei Drupal-8-Zweige auf. Auf der Aktualisierungsberichtsseite der Website wird die Version 8.5.x empfohlen, auch wenn 8.3.x oder 8.4.x verwendet wird. Wenn jedoch vorübergehend auf den bereitgestellten Backport für die aktuelle Version der Site aktualisiert wird, sollte sichergestellt werden, dass schnell ein Minor Update durchgeführt werden kann.

Auf der Drupal.org-Website wird zudem darüber berichtet, dass es kurz nach der Veröffentlichung der Drupal 7 und 8 Security Advisory auch einen Fix für Drupal 6 geben wird. Schon einmal, im Oktober 2014, gab es eine dringliche Meldung des Drupal-Sicherheitsteams zu einer hochkritischen Sicherheitslücke. Damals, nur wenige Stunden, nachdem das Drupal-Team die  Sicherheitslücke geschlossen hatte, begannen automatisierte Angriffe auf die noch ungepatchten Server und es musste nachgebessert werden. Es gibt also durchaus gute Gründe, den aktuellen Sicherheitshinweis ernst zu nehmen.

Das Sicherheitsupdate ist für den 28. März zwischen 18:00 – 19:30 UTC (d.h. zwischen 20:00 und 21:30 Uhr mitteleuropäischer Zeit) angekündigt.

 

 

Unsere Redaktion empfiehlt:

Relevante Beiträge

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
400
  Subscribe  
Benachrichtige mich zu:
X
- Gib Deinen Standort ein -
- or -