Kritische Lücken in Drupal gefährden ganze Websites

Aufgrund von mehreren Schwachstellen sollten Web-Admins zügig ihre Drupal-Installation auf den aktuellen Stand bringen.

Im Content Management System (CMS) Drupal klaffen mehrere, zum Teil als „kritische“ eingestufte Sicherheitslücken. Fehlerbereinigte Versionen sind verfügbar. Da Angreifer die Kontrolle über Websites erlangen könnten, sollte die flinke Aktualisierung des CMS sichergestellt sein.

Die Entwickler haben die Schwachstellen in den Drupal-Ausgaben 7.60, 8.5.8 und 8.6.2 geschlossen. Wer noch ältere Versionen einsetzt, sollte mindestens auf 8.5.x aktualisieren. Dieser Versionsstrang erhält den Entwicklern zufolge noch bis zum Mai 2019 Sicherheitsupdates.

Die als kritisch eingestuften Schwachstellen finden sich im Contextual-Links-validation-Modul und im Mailsystem DefaultMailSystem::mail() von Drupal. Derzeit ist nicht viel über die Angriffsszenarien bekannt. Offenbar kann allein der Versand von präparierten Mails zur Ausführung von Schadcode führen.

2018-10-19T11:18:49+00:00