Schwere Sicherheitslücke in Drupal 7

16.10.2014

Ein Fehler in der SQL-Abstraktionsschicht erlaubt es, beliebige SQL-Anweisungen auszuführen.

Ein Fehler im Code des Content-Management-Systems Drupal 7 erlaubt es, mit relativ wenig Aufwand eigene SQL-Anweisungen in der Datenbank auszuführen. Ironischerweise steckt der dafür verantwortliche Fehler im Code, der das Einschleusen von SQL-Injections verhindern soll. Aufgedeckt wurde die Lücke durch Security-Experten der Firma Sektioneins .

Das Drupal-Security-Advisory SA-CORE-2014-05 stuft die Lücke als äußerst kritisch ein und empfiehlt dringend ein Update auf Drupal 7.32. Wer Drupal nicht updaten kann, findet auf der Advisory-Seite auch einen Patch, der nur den Fehler im Datenbank-Code behebt.

Ähnliche Artikel

comments powered by Disqus
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023