Eine als kritisch eingestufte Sicherheitslücke steckt im Core des Open-Source-Content-Management-Systems (CMS) Drupal. Ohne vorherige Authentifizierung könnten Angreifer unter bestimmten Voraussetzungen die Lücke ausnutzen, um die Kontrolle über das CMS zu übernehmen.

Der Gebrauch der Lücke unterliegt allerdings starken Einschränkungen: Es ist ausschließlich Version 8.7.4 des CMS betroffen, laut einem Sicherheitshinweis der Drupal-Entwickler. Außerdem ist die Lücke nur so lange ausnutzbar, wie das experimentelle "Workspaces"-Modul aktiv ist. Aus dem Hinweis geht nicht hervor, ob Zugriffe aus der Ferne möglich sind.

Zudem weist das Drupal-Team darauf hin, dass (im Falle eines vor dem Update aktiven Workspaces-Moduls) update.php ausgeführt werden muss, um sicherzustellen, dass der Cache geleert wird. Auch sollten Reverse Proxy Caches und Caches von Content Delivery Networks geleert werden.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE