Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code

Durch eine kritische Lücke im Content-Management-System Drupal können Angreifer eigenen PHP-Code auf dem Server ausführen. Eine weitere Schwachstelle missbrauchen Spammer bereits, um Werbung zu hosten.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Jetzt patchen: Drupal anfällig für eingeschleusten PHP-Code
Lesezeit: 1 Min.
Von
  • Ronald Eikenberg

Das Drupal-Team hat drei Sicherheitslücken in seinem Content-Management-System geschlossen, die es zum Teil in sich haben: So können Angreifer etwa eine kritische Schwachstelle im YAML-Parser missbrauchen, um eigenen PHP-Code auf dem Server auszuführen. Auch das RESTful-Modul (rest), welches Nutzern das Hochladen von Dateien erlaubt, mussten die Entwickler absichern. Es patzte bei der Validierung der von den Nutzern angelieferten Daten, wenn Dateien verändert wurde. Die Entwickler stufen das Problem als "weniger kritisch" (Less Critical) ein.

Last but not least konnten anonyme Nutzer Dateien hochladen, die dann öffentlich über das Internet abrufbar waren. Das Drupal-Team erklärt, dass diese "moderat kritische" Anfälligkeit bereits von Spammern ausgenutzt wird, um Bilder für Werbekampagnen zu hosten. Von den ersten beiden Sicherheitslücken ist ausschließlich Drupal 8 betroffen, die dritte klafft auch in Drupal 7. Für Abhilfe sorgt ein Update auf Drupal 8.3.4 respektive 7.5.6. Wer eine betroffene Drupal-Installation administriert, sollte so schnell wie möglich auf die aktuelle Version umsteigen. (rei)