Wird das CMS nicht aktualisiert, so können Angreifer mit Drupal 7.x und 8.x gebaute Webseiten komplett übernehmen. Den Entwicklern zufolge sollen mehr als eine Million Seiten bedroht sein. Die Versionen 7.58 und 8.5.1 sind abgesichert. Weil die Lücke offensichtlich so schwerwiegend ist, veröffentlicht Drupal Updates sogar für die älteren sich nicht im Support befindlichen Versionsstränge 8.3.x und 8.4. Hier stehen die abgesicherten Ausgaben 8.3.9 und 8.4.6 bereit. Die Entwickler raten Nutzern von Drupal 6 und 8.2.x ihre Systeme auf eine aktuelle Version zu aktualisieren. Für Drupal 6 gibt es noch einen inoffiziellen Patch.

Einer FAQ zufolge soll ein Übergriff durch den alleinigen Besuch einer verwundbaren Webseite möglich sein. Dafür sind keine speziellen Nutzerrechte notwendig. Die Schwachstelle klafft im Kern des CMS und ermöglicht das Ausführen von Schadcode. Angreifer sollen alle Daten der Webseite modifizieren und löschen können. Aufgrund des hohen Angriffsrisikos hält Drupal weitere Details zum Angriffsszenario zurück.

(pp, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE