Drupal – Lücken, Probleme und neue Version 8
Kommentare

Als das Drupal Security Team am 29. Oktober die dringliche Sicherheitswarnung für Drupal 7 generierte Seiten ausweitete, dass eine SQL-Injection-Schwachstelle es Hackern ermöglicht habe, die Kontrolle über die betroffenen Webseiten zu übernehmen, war die Aufregung groß und der Handlungsspielraum für Betroffene denkbar klein. Wer binnen sechs Stunden nach Bekanntgabe des Problemfalls am 15. Oktober nicht bereits das Sicherheitsupdate auf Version 7.32 aktualisiert hatte, war womöglich betroffen.

Schwachstelle bei Drupal 7 erfordert Neuinstallation

Ab diesem Punkt reichte es nicht mehr aus, allein das Drupal-Update auszuführen, um die Sicherheitslücken zu schließen. Auch nachträgliche Änderungen der Passwörter seien gleichermaßen unwirksam. Manche Angreifer hätten sogar mit ihren erbeuteten Zugriffrechten eigenständig die betroffene Drupal-basierte Website mit dem Sicherheitsupdate aktualisiert, um ihre implementierte „Hintertür“ gegenüber anderen Angreifern zu verteidigen, berichtete das Drupal-Team. System-Scans hätten bereits nach sechs Stunden die ersten infiltrierten Seiten registriert.

Das Procedere im Überblick

Seitenbetreibern wurde angeraten, das gesamte System offline zu stellen. Zudem sollte eine Neuinstallation mit der Version 7.32 durchgeführt werden. Lediglich Inhalte aus einem Backup vor dem 14. Oktober 2014 hätten wieder verwendet werden dürfen. Bevor das Content-Management-System dann wieder online ging, sollten zunächst die Passwörter geändert werden.

Diese Beschreibung ist nur als Kurzfassung zu verstehen. Details können der ausführlichen Bekanntgabe von Drupal entnommen werden.

Drupal 8 verspricht einige neue Features

So bedenklich der Vorfall für Drupal-Nutzer definitiv ist und das CMS in einem schlechten Licht erscheinen lässt, so sehr sind doch auch manche Optimisten auf das für kommendes Frühjahr angekündigte Drupal 8 gespannt. Ein verbessertes Konfigurationsmanagement, mehrsprachige Websites und der Ausbau des Responsive Designs lassen hoffen, dass das kostenlose CMS bald wieder unter einem bessern Stern steht.

 Testversion Beta 2 für Entwickler steht bereit

Die in diesem Jahr in Amsterdam auf der Drupal Conference vorgestellte Version 8 steht bereits für Entwickler als Beta 2 zur Verfügung. Die API wurde in Drupal 8 weitreichend angepasst und ist nun auch mit zeitgemäßeren PHP-Features wie PSR-0 und Traits kompatibel, was auch die Konfiguration der Inhaltstypen vereinfachen soll. Für die Seitengestaltung bedient sich Drupal 8 wohl der Template-Engine twig. In Sachen Responsive Design sollen sich die mitgelieferten Themes und Administrationsoberflächen sich nun flexibel an verschiedene Displaygrößen anpassen. Mehrsprachige Inhalte lassen sich auf Basis einzelner Felder in beliebige Sprachen übertragen.

Ein optimistischer Ausblick ins Ungewisse

Bisherige Import-Schwierigkeiten, die sich bei vorherigen Versionen oft zeigten, sollen ebenfalls ausgebessert werden. Drupal 8 kommt demnach mit dem Modul Migrate. Für viele wird das Upgrade dennoch wieder Arbeit bedeuten. Obschon es gerade bei der Beta 2 Version mitunter um die Beseitigung der Bugs geht, bleibt nicht ausgeschlossen, dass es auch mit der neuen kostenlosen Version wieder zu Immigrationsproblemen kommt – von Sicherheitslücken mal ganz abgesehen. 

 

Aufmacherbild: Hand drawing Content flow chart with white chalk on blackboard via Shutterstock / Urheberrecht: Ivelin Radkov

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -