Gefährliche Sicherheitslücke in Drupal 7: Dringend Patch einspielen oder auf Version 7.32 wechseln
Eingetragen von C_Logemann (899) am 16.10.2014 - 13:33 Uhr in
Normalerweise ist ein Sicherheitsupdate keine News wert (es gibt ja den Info-Block mit den Security Issues).
Aber die aktuelle Sicherheitslücke ist eine SQL-Injection direkt im Core, die von Gästen ausführbar und damit sehr gefährlich ist.
Im Grunde ist das entscheidende nur ein kleiner Schnipsel Code, der ausgetauscht werden muss und somit das Einspielen des Patches kaum Probleme bereiten sollte. Es schadet aber nicht, das System an sich auf den neuesten Stand zu halten.
Neben der Issue (SA-CORE-2014-005) gibt es sogar eine FAQ-Seite zum Update.
Die wichtigsten Fragen und Antworten in Kurzform auf deutsch:
- Warum ist es wichtig jetzt das Update sofort durchzuführen?
Ohne Patch/Update ist jede Drupal 7-Website angreifbar. Es gibt bereits Anleitungen im Internet, wie diese Lücke ausgenutzt werden kann. - Kann ich meine Website nicht einfach in den Wartungsmodus versetzen?
Nein, das hilft nicht. Im Zweifelsfall die Domain auf einen Ordner umleiten, der statisches HTML bereit stellt. - Ist Drupal sicher?
Jede Software hat Sicherheitslücken, da bildet Drupal keine Ausnahme. Die Entwicker-Community bemüht sich ein Framework zu pflegen, das eingebaute Sicherheitsfeatures hat. So sollen Sitebuilder und Entwicklern einfach eine sichere Website betreiben können.
Anlässlich der aktuellen Ereignisse hat Daniel Wehner den Blog-Beitrag "Securitybugs in Drupal" geschrieben.
- Anmelden oder Registrieren um Kommentare zu schreiben
Related Threads
am 25.10.2014 - 00:15 Uhr
SQL Injection – Drupal 7.31 User "drupaldev" mit der Rolle "megauser"
Website wurde gehackt... Was tun?
# DrupalCenter-Moderator # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: Tech. Concepts | Security + Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen, Freiberufler:innen
Patch einspielen?
am 25.10.2014 - 19:20 Uhr
Die Idee ist ja gut. Ich lösche immer alle Dateien von meinem Server und lade die aktuelle Drupal-Version hoch, die zu 99,9 % identisch ist. Das dauert immer etwas. Wo finde ich denn den Patch?
Edit:
Habe den Patch gefunden. Noch einfacher fände ich ja, die entsprechende Datei zu tauschen.
Tausch der Datei database.inc geht auch
am 28.10.2014 - 10:09 Uhr
Noch einfacher fände ich ja, die entsprechende Datei zu tauschen.
Man kann sich einmal ein Drupal 7 updaten oder patchen und dann die Datei nehmen, um mehrere Drupal-Systeme zu fixen.
So habe ich z.B. bei einem Kunden den Vorgang vorbereitet, da ich auf dessen System ich gar keinen direkten Zugriff habe, weil es unter anderem nur innerhalb eines abgeschotteten Firmen-Netzwerk betrieben wird.
Der IT-Abteilung habe ich dazu folgende Anweisungen geschickt:
(...)
Ein Patch reicht völlig aus und dieser sollte problemlos funktionieren, da im
Grunde nur eine Zeile Code im Datenbank-Controller ausgetauscht wird:
includes/database/database.inc
- foreach ($data as $i => $value) {+ foreach (array_values($data) as $i => $value) {
Sie können z.B. die folgenden Befehle im Webroot ausführen:
wget https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patchpatch -p1 < SA-CORE-2014-005-D7.patch
rm SA-CORE-2014-005-D7.patch
Im Anhang schicke ich Ihnen aber auch die entsprechende Datei gezippt mit. So daß sie diese auch einfach austauschen können.
(...)
Edit: Konfuse Ausdrucksweise begradigt
# DrupalCenter-Moderator # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: Tech. Concepts | Security + Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen, Freiberufler:innen
Update: WARNUNG
am 31.10.2014 - 10:51 Uhr
Update:
WARNUNG: Systeme (Drupal 7 und 6 mit DBTNG-Modul), die nicht am 15.10. innerhalb von 3 Stunden gepatcht wurden, sind evtl. infiltriert!
# DrupalCenter-Moderator # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: Tech. Concepts | Security + Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen, Freiberufler:innen