Drupal 6 und 7 unter Attacke

goneo_drupal_attackEs kommt selten vor, dass wir Drupal-User warnen müssen. Meistens stehen WordPress- oder Joomla-Installationen im Zentrum von Angriffen.

Schon am 20.11.2013 hat das Security Team von Drupal unter https://drupal.org/security den Warnhinweis SA-CORE-2013-003 (https://drupal.org/SA-CORE-2013-003 ) veröffentlicht und auch als „highly critical“ eingestuft.

Ein wichtiger Aspekt dabei dürfte der Zufallszahlengenerator sein, der in den anfälligen Versionen der Drupal 6 und 7 – Serie verwendet wird, um Verschlüsselungsalgorithmen mit Pseudo-Zufallszahlen zu versorgen. Da es eben keine echten Zufallszahlen sind, besteht die Gefahr, dass die generierten Zahlenfolgen mit einem entsprechenden Algo vorausgesagt werden können.

Daneben sind – aufgrund anderer Sicherheitslücken – auch Cross-Site-Scipting und Cross-Site-Request-Forgery-Angriffe möglich. Diese Lücken sollten ebenfalls geschlossen werden.

Die Bedrohungen können durch ein Upgrade abgewendet werden:

User von Drupal 6.x nutzen dieses Upgrade: Drupal core 6.29 . Wenn Sie Drupal 7.x einsetzen, nutzen Sie dieses Upgrade:  Drupal core 7.24.

Allerdings empfiehlt Drupal auch eine Änderung der .htaccess Dateien wie auf https://drupal.org/SA-CORE-2013-003 beschrieben. Wie die veränderten .htaccess Dateien aussehen sollten, ist dort beschrieben. Dies zitierte Anleitung gilt für Apache-Webserver, die auch bei goneo zum Einsatz kommen. Wenn die .htaccess Dateien nicht angepasst werden, gibt die Statusseite /reports/status Fehlermeldungen aus.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Kommentare zu Drupal 6 und 7 unter Attacke

  1. Roland Thiel-Geist sagt:

    Gibt es für https://drupal.org/SA-CORE-2013-003 auch ein deutsche Übersetzung?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.