Ab wann ist Drupal eigentlich unsicher?

Ein Sicherheitsupdate bedeutet das es eine angreifbare Lücke gibt, die im Netz schon bekannt sein kann, aber nicht bekannt sein muß oder noch bekannt wird...

Deine User sind eher nicht das Problem, sondern Angriffe von aussen, die ärgerliche Folgen haben können, die mit Sicherheit mehr Zeit kosten, als das Update.

Daher, wenn sich das Security Team die Mühe macht, jedes Modul zu checken, solltest du die Updates (nach Backup) auch durchführen.

Grüße Jenna

Hallo Jenna,

vielen Dank für deine Antwort. Ich dachte, es wäre immer nur das Backend betroffen und nicht das Frontend. Sprich, bei einer Drupal Installation, die die Registrierung von Benutzerkonten zulässt, die wiederum ausreichend Berechtigungen für bestimmte Module haben, wäre die Sicherheit gefährdet und nicht bei Angriffen auf das Frontend, so jedenfalls meine Überlegung. Schließlich gibt es ja noch ausreichend Drupal 6 Webseiten, die schon länger nicht mehr mit Updates versorgt werden.

Gruß Kiko

Ja, aber das sollte man nicht als Maßstab nehmen, viele Sites sind zu klein und uninteressant für Angriffe oder haben einfach Glück nicht betroffen zu sein.
Drupal hat in dem Sinn kein Backend. Angreifbar kann je nach Lücke die du aufmachst, im schlimmsten Fall auch dein Webserver sein und der Hoster wird diesen höchstwahrscheinlich erstmal sperren aus Sicherheitsgründen.

Grüße Jenna

Immer alle Sicherheitsupdates ausführen. Ansonsten ärgerst du dich wenn dein Seite gehackt wurde

Im Grundsatz gilt: Ja, deine Seite ist unsicher, wenn es für Core oder mindestens ein Modul ein Sicherheitsupdate es gibt.

Natürlich ist nicht jedes Sicherheitsupdate so kritisch, dass sofort von jedermann Daten unbeschränkt manipuliert werden können. Wenn du technisch daran interessiert bist kannst du dir immer die Security Advisories für Core und Contrib auf https://www.drupal.org/security ansehen. Dort ist in der Regel genau beschrieben, um welche Art Sicherheitslücke es sich handelt. Dabei wird auch gezeigt, ob es zum Zeitpunkt des Releases bereits Exploits gibt, oder ob diese theoretisch möglich wären.

Zum Beispiel ist es auch eine Sicherheitslücke, wenn für ein bestimmtes Modul eine User-Eingabe nicht richtig geprüft wird. Das kann für deine spezifische Seite jedoch gar nicht relevant sein, wenn deine Webseitenbenutzer keine bestimmte Benutzerrolle und Berechtigung besitzen. Aber diese Einzelfallentscheidung ist eben nicht immer einfach zu treffen, wenn man nicht in den technischen Details steckt: deshalb die klare Empfehlung - Sicherheitsupdates immer einspielen :)

Ich empfehle sehr, die Sicherheitsupdate-Benachrichtigungen per Mail zu abonnieren unter https://lists.drupal.org/mailman/listinfo/security-news – Am drupal.org User account (Edit » My newsletters tab) geht's mit einem Klick.

Es gibt zu jedem Sicherheitsupdate – egal ob Core oder Contrib module – eine Mailbenachrichtigung nach Erscheinen des Updates. Dort stehen auch die Versionshinweise und Details zur behobenen Sicherheitslücke drin.

Oft steht da:

…, so dass ich beurteilen kann, ob und für welche meiner verwalteten Installationen das Update wichtig ist.

Sicherheitslücken sind für Drupal-Installationen dann unwichtig, wenn alle User, die sie ausnützen könnten, vertrauenswürdig sind, z.B. wenn du node edit Rechte brauchst, um die Site zu hacken, aber nur du selbst das Recht hast.