Kritische Lücken in Drupal-CMS-Modulen gefährden tausende Websites

Sie stecken in den Modulen RESTWS, Coder und Webform Multiple File Upload. Angreifer können die Schwachstellen ausnutzen, um Schadcode auszuführen und die vollständige Kontrolle über Website sowie Server zu übernehmen. Nutzer sollten die inzwischen vorliegenden Patches daher schnellstmöglich installieren.

Drupal hat Anwender seines freien Content Management System (CMS) aufgerufen, die neuesten Updates einzuspielen, um schwerwiegende Sicherheitslücken zu schließen. Diese stecken in verschiedenen Modulen und erlauben es Angreifern, eine Website zu entführen und Schadcode aus der Ferne auszuführen. Von den Schwachstellen sollen mindestens 13.000 auf Drupal basierende Sites betroffen sein.

(Bild: Drupal)„Die Module enthalten eine Möglichkeit zur Remotecodeausführung, die es Angreifern mittels manipulierter Anfragen erlaubt, die Site zu übernehmen“, erklärt Drupals Sicherheitsteam. So könnten sie beliebige Änderungen auf der Site vornehmen und auch die vollständige Kontrolle über Server erlangen.

Was die Sache noch verschlimmert: Jeder Besucher einer anfälligen Domain, der die fehlerhaften Module hostet, könnte die Lücken theoretisch ausnutzen, um eine Site zu übernehmen.

Eins der betroffenen Module ist RESTWS, das zum Erstellen von REST APIs verwendet wird und aktuell auf über 5800 Websites zum Einsatz kommt. Durch Ausnutzen der Schwachstelle in diesem Modul können Angreifer schädlichen PHP-Code ausführen. Entdeckt hat sie der Sicherheitsexperte Devin Zuczek.

Eine Lücke findet sich auch im Modul Coder, das auf knapp 5000 Drupal-Domains zur Codeanalyse eingesetzt wird. Der von Nicky Bloor gemeldete, „hochkritische“ Fehler resultiert aus einer unzureichenden Prüfung von PHP-Script-Benutzereingaben und ermöglicht so Remotecodeausführung. Dafür muss das Modul nicht einmal aktiviert sein.

Das dritte und letzte Modul, das aktuell tausende Drupal-Websites gefährdet, ist Webform Multiple File Upload. Durch die darin enthaltene kritische Schwachstelle kann ein Angreifer eventuell ebenfalls Schadcode ausführen, abhängig von den auf der Domain verfügbaren Bibliotheken. Jedoch muss er dazu ein Webformular mit einem Multiple-File-Input-Feld übertragen. Entdecker dieser Lücke ist Ben Dougherty vom Drupal Security Team.

ANZEIGE

Open Telekom Cloud: Ressourcen auf Abruf

Von Capex zu Opex: Mit IT-Kapazitäten aus der Cloud statt von eigenen Servern verwandeln Unternehmen gerade verstärkt starre Investitionskosten in dynamische Ausgaben, die sich dem Geschäftsverlauf anpassen – und werden damit flexibler. Immer beliebter: Infrastructure-as-a-Service (IaaS) aus der Open Telekom Cloud.

Die Anfälligkeiten wurden mit den jüngsten Versionen der Module beseitigt. Anwender sollten sie daher schnellstmöglich installieren, um ihre Drupal-Websites abzusichern.

Weltweit basieren mehr als eine Million Sites auf Drupal. Es ist damit nach WordPress und Joomla das am dritthäufigsten eingesetzte CMS. Aufgrund seiner E-Commerce-Funktionen ist Drupal vor allem bei Geschäftsanwendern beliebt. Schätzungsweise neun Prozent der 10.000 führenden Websites nutzen das Drupal-System.

Im Januar wies der Aktualisierungsprozess von Drupal Schwachstellen auf, die alle Versionen des CMS betrafen. Sie ermöglichten Codeausführung und den Diebstahl von in Datenbanken vorgehaltenen Identitäten. Im Februar schloss Drupal mit einem Update gleich zehn kritische Lücken, von denen einige ebenfalls für Remotecodeausführung und Webiste-Hijacking ausgenutzt werden konnten.

[mit Material von Charlie Osborne, ZDNet.com]

Themenseiten: Drupal, Security

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Björn Greif
Autor: Björn Greif
Redakteur ZDNet.de
Björn Greif
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen Lesen Sie ZDNet-Artikel in Google Currents ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Kritische Lücken in Drupal-CMS-Modulen gefährden tausende Websites

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *