In der Content Management Software (CMS) Drupal gibt es eine kritische Remote Code Execution-Schwachstelle. Diese Schwachstelle lässt sich missbrauchen, um das System bzw. die Webseite zu übernehmen.
Anzeige
Die als kritisch eingestufte Sicherheitslücke CVE-2019-6340 wurde erst am 21. Februar 2019 veröffentlicht. In der National Vulnerability Database heißt es dazu: Diese Schwachstelle wird derzeit analysiert und nicht alle Informationen sind verfügbar.
Zum Problem an sich schreiben die NVD-Leute: Einige Feldtypen bereinigen Daten aus nicht formularbasierten Quellen in:
- Drupal 8.5.x vor 8.5.11 und
- Drupal 8.6.x vor 8.6.10
nicht ordnungsgemäß. Dies kann in einigen Fällen zu einer beliebigen Ausführung von PHP-Code führen. Eine Drupal-Installation ist davon nur dann betroffen, wenn eine der folgenden Bedingungen erfüllt ist:
- Die Website hat das Drupal 8 Core RESTful Web Services (Rest) Modul aktiviert und erlaubt PATCH oder POST Anfragen,
- oder die Website hat ein anderes Webservice-Modul aktiviert, wie z.B. JSON:API in Drupal 8, oder Services oder RESTful Web Services in Drupal 7
Hinweis: Das Drupal 7 Services Modul selbst benötigt zu diesem Zeitpunkt kein Update, aber Sie sollten andere beigesteuerte Updates anwenden, die mit diesem Advisory verbunden sind, wenn Services in Gebrauch sind….
Was sollte ich tun?
Gemäß dieser Seite haben die Drupal-Entwickler aktualisierte Versionen der angreifbaren Software erstellt. Es gilt also zu handeln.
Anzeige
- Wenn Sie Drupal 8.6.x verwenden, aktualisieren Sie auf Drupal 8.6.10.
- Wenn Sie Drupal 8.5.x oder früher verwenden, aktualisieren Sie auf Drupal 8.5.11.
Weitere Informationen sind auf dieser Seite (Englisch), bei ZDNet (Englisch) oder bei heise.de nachlesbar.
Anzeige
