Login
Newsletter
Werbung

Do, 30. Oktober 2014, 09:41

Software::Web

Hochkritische Lücke in Drupal verursacht Nachwehen

Am 15. Oktober hatte das Sicherheitsteam des Content Management Systems Drupal eine schwerwiegende Lücke in der Kernkomponente Drupal-Core geschlossen. Jetzt ergeht eine Warnung, zu spät aktualisierte Installationen müssten als kompromittiert betrachtet werden.

Das am 15. Oktober veröffentlichte Security Advisory wies auf eine Lücke hin, die in allen Versionen von Drupal-Core 7 vor 7.32 vorhanden ist. Die Schwachstelle, die als CVE-2014-3704 katalogisiert ist, erlaubt SQL-Injections ohne Authentifizierung, die über die Ausbeutung der Datenbank die Webseiten übernehmen und per Malware auch weitere Rechner infizieren kann. Brisanterweise bestand die Sicherheitslücke bereits seit rund einem Jahr, ohne dass das Gefahrenpotenzial erkannt wurde. Erst ein externes Sicherheitsunternehmen erkannte bei einem Code-Audit die Schwere der Lücke.

Gleich nach dem Bekanntwerden der Lücke und der Veröffentlichung der Aktualisierung begann eine Angriffswelle auf noch ungepatchte Systeme, die das Drupal-Sicherheitsteam jetzt zu einer eindringlichen Warnung veranlasste. Darin wird gewarnt, Installationen, die nicht binnen sieben Stunden nach Veröffentlichung des Updates auf Drupal-Core 7.32 aktualisiert wurden, müssten als kompromittiert betrachtet werden. Das entspricht bei uns dem 16. Oktober 2014 um 1 Uhr nachts.

Das Sicherheitsteam stellt klar, dass nachträgliche Aktualisierungen die Infektion nicht beseitigen können. Zudem seien auch Systeme, die wie von Zauberhand bereits aktualisiert seien, vermutlich kompromittiert, da manche Angreifer nach dem Eindringen den Patch selbst einspielen, um weitere Angreifer draußen zu halten.

Abhilfe schafft laut der Bekanntmachung nur eine Neuinstallation oder das Ersetzen der betroffenen Installation durch eine Sicherung, die vor dem 15.10.2014 erstellt wurde und das Einspielen des Patches, bevor der Server wieder ans Netz geht. Von einer Reparatur betroffener Systeme wird abgeraten, da die Angreifer möglicherweise eine oder mehrere Hintertüren zurückgelassen haben, die nur schwer zu finden und zu entfernen sind.

Werbung
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten
Werbung