Erneut hat das Drupal-Security-Team ein Advisory zu der am 15. Oktober geschlossenen Lücke herausgegeben: Sofern eine Drupal-7-Installation nicht innerhalb von sieben Stunden nach Veröffentlichung des Patches abgesichert wurde, ist sie als kompromittiert zu betrachten.

Es gab anscheinend bis zum 16. Oktober 2014 um 1 Uhr deutscher Ortszeit (11pm UTC am Vortag) noch keine Angriffe. Nur der 7er Versionszweig ist betroffen. Installationen, die rechtzeitig auf Version 7.32 upgedatet wurden, sind abgesichert. Ein Patch für ältere 7er Versionen ist verfügbar.

Laut dem Security-Team hilft nachträgliches Absichern nicht gegen Infektionen. Falls die eigene Drupal-Installation unerklärlicherweise auf den aktuellen Stand gebracht wurde, ist Drupal vermutlich bereits einem Angriff zum Opfer gefallen, da manche Angreifer nach ihrer Infektion selbst das Sicherheits-Update installieren, um andere Angreifer draußen zu halten. Deswegen sollten Drupal-Betreiber davon ausgehen, dass die Eindringlinge alle Daten auf dem Server missbrauchen werden. Durch die Lücke wird eine SQL-Injection ermöglicht. Mit einem einzelnen POST-Request können Angreifer ohne Authentifizierung beliebige SQL-Kommandos ausführen und so die Kontrolle der Webseite übernehmen.

Das Sicherheitsteam von Drupal rät ein Backup der aktuellen Installation zu erstellen, dann ein vor dem 15. Oktober erstelltes Backup auf den Server einzuspielen und das Update auf Version 7.32 zu installieren. Anschließend sollten die Passwörter geändert und die gewünschten Änderungen vorgenommen werden, bevor Drupal wieder ans Netz geht.

(nd, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE