Die Entwickler des freien Content Management Systems Drupal haben eine kritische Sicherheitslücke geschlossen, die das unautorisierte Ausführen von Code ermöglicht. Erste Exploits nutzen die Lücke bereits, weshalb eine Aktualisierung dringend angeraten ist.
vor einer fatalen Sicherheitslücke, die innerhalb der Gemeinschaft als »hoch kritisch« eingestuft wird. Wie der Mitteilung entnommen werden kann, ist es Angreifern unter allen aktuellen Versionen des Content Management Systems möglich, unautorisiert Code innerhalb einer Drupal-Instanz auszuführen und das komplette System zu kompromittieren. Möglich machen das gleich mehrere Angriffsvektoren innerhalb des Content Management Systems, die im direkten Zusammenhang mit einer bereits
stehen.
Korrekturen der Lücke können ab sofort von der Seite des Projektes in Form diverser Pakete heruntergeladen werden. Neben einem Patch für die Version 7.x stehen ebenfalls Korrekturen für das aktuelle Version 8.5.x und die eigentlich nicht mehr unterstützte Version 8.4.x bereit. Nutzer von Drupal 5.x und 6.x-Installationen sind ebenfalls von der Lücke betroffen, weshalb sie auf eine neue Version des Systems wechseln sollten. Eine Korrektur für die alten Versionen ist nicht geplant. Anwender, die Ihre Systeme nicht aktualisieren wollen, können aber auf inoffizielle Backport-Patches für Drupal 5 und Drupal 6 zurückgreifen.