[Warning] Kritische Sicherheitslücke in Drupal - Updates verfügbar

Robert Waldner waldner at cert.at
Thu Mar 29 10:26:28 CEST 2018


29. März 2018

Beschreibung

   In der verbreiteten CMS-Software Drupal ist eine kritische
   Sicherheitslücke entdeckt worden.

   Durch Ausnutzung dieses Fehler kann auf betroffenen Systemen
   beliebiger Code (mit den Rechten des Webserver-Users) ausgeführt
   werden.

   CVE-Nummer: CVE-2018-7600

Auswirkungen

   Da eine Ausnutzung durch anonyme (unauthentisierte/unauthorisierte)
   Benutzer aus dem Internet möglich ist, ist davon auszugehen, dass
   bald entsprechende Angriffsversuche in automatisierter Weise gegen
   eine grosse Anzahl von Drupal-Installationen durchgeführt werden.

   Da durch Ausnutzen der Lücke beliebiger Code auf betroffenen Systemen
   ausgeführt werden kann, sind alle Daten auf diesen Systemen, sowie
   alle durch diese erreichbaren (etwa durch Login, VPN etc.) Daten und
   weiteren Systeme gefährdet.

Betroffene Systeme

   Alle Systeme, auf denen Drupal Core in Versionen kleiner als 7.58
   bzw. 8.5.1 installiert ist, und die aus dem Internet erreichbar sind
   - dies wird auf die meisten Installationen zutreffen.

Abhilfe

   Installation entsprechend upgedateter Versionen der Distributionen,
   manuelles Upgrade auf Version 7.58 bzw. 8.5.1 oder neuer. Es stehen
   auch Patches für ältere Versionen (8.3.x, 8.4.x) zur Verfügung.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

Informationsquelle(n):

   Drupal Security Advisory SA-CORE-2018-002 (englisch)
   https://www.drupal.org/SA-CORE-2018-002
   Drupal FAQ zu SA-CORE-2018-002 (englisch)
   https://groups.drupal.org/security/faq-2018-002


-- 
// Robert Waldner <waldner at cert.at> - T: +43 1 5056416 78
// CERT Austria - https://www.cert.at/
// Eine Initiative der nic.at GmbH - https://www.nic.at/
// Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 811 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/pipermail/warning/attachments/20180329/64317150/attachment-0001.sig>


More information about the Warning mailing list