[Warning] Kritische Sicherheitslücke in Drupal - aktiv ausgenützt - Updates verfügbar

Robert Waldner waldner at cert.at
Thu Apr 26 10:01:14 CEST 2018 

26. April 2018

Beschreibung

   In der verbreiteten CMS-Software Drupal ist eine kritische
   Sicherheitslücke entdeckt worden.

   Durch Ausnutzung dieses Fehlers kann auf betroffenen Systemen
   beliebiger Code (mit den Rechten des Webserver-Users) ausgeführt
   werden.

   CVE-Nummer: CVE-2018-7602

Auswirkungen

   Laut der Meldung des Drupal-Projekts laufen bereits entsprechende
   (automatisierte) Angriffsversuche gegen anfällige
   Drupal-Installationen.

   Da durch Ausnutzen der Lücke beliebiger Code auf betroffenen Systemen
   ausgeführt werden kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   weiteren Systeme gefährdet.

Betroffene Systeme

   Alle Systeme, auf denen Drupal Core in Versionen kleiner als 7.59
   bzw. 8.5.3 installiert ist, und die aus dem Internet erreichbar sind
   - dies wird auf die meisten Installationen zutreffen.

Abhilfe

   Installation entsprechend upgedateter Versionen der Distributionen,
   manuelles Upgrade auf Version 7.59 bzw. 8.5.3 oder neuer. Es steht
   auch ein Patch für die eigentlich nicht supportete Version 8.4.x zur
   Verfügung.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Drupal Security Advisory SA-CORE-2018-004 (englisch)
   https://www.drupal.org/SA-CORE-2018-004

-- 
// Robert Waldner <waldner at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180426/0ca9596b/attachment-0001.sig>

More information about the Warning mailing list