Drupalgeddon – Kritische Sicherheitslücke in Drupal 7 (Drupal SA-CORE-2014-005)

Submitted by Lars Schröter on Fri, 10/17/2014 - 09:52

Die Sicherheitslücke erlaubt es Angreifern, problemlos und ohne Anmeldung die uneingeschränkte Kontrolle über das gesamte System zu erhalten. Die Schwachstelle besteht zwar schon seit Anfang 2011 und wurde auch schon vor mehr als einem Jahr veröffentlicht, doch blieb sie bis vor kurzem eher unbemerkt. Sie besteht darin, dass Datenbankcode eingeschleust und ausgeführt werden kann (SQL-Injection) um Inhalte in der Datenbank zu manipulieren. Das Drupal-Sicherheitsteam hatte Mitte Oktober 2014 die Sicherheitslücke veröffentlicht (Drupal SA-CORE-2014-005) und zeitgleich ein Sicherheitsupdate bereitgestellt, um das Problem zu lösen.

Kurz nach der Bekanntgabe wurden auch zahlreiche Anleitungen und Programmcodes veröffentlicht, die für entsprechende Angriffe genutzt werden können. Dadurch ist es auch für Amateure relativ einfach die Lücke auszunutzen und so eine Drupal-Seite durch Setzen eines eigenen Administrator-Passwortes zu "übernehmen" bzw. unbemerkt Schadcode einzuschleusen. Bereits am nächsten Tag wurden zahlreiche automatisierte Angriffe gesichtet.

Betroffen von der Sicherheitslücke sind alle Versionen von Drupal 7 vor Drupal 7.32. Es wird dringend empfohlen das Sicherheitsupdate einzuspielen. Problematisch ist es jedoch für Seiten deren Betreiber schon länger keine Updates durchgeführt haben bzw. wider den Programmierstandards den Drupal-Code so verändert haben, dass ein Update nicht ohne weiteres eingespielt werden kann. Hier empfiehlt es sich zumindest den bereitgestellten Patch einzuspielen, der die Sicherheitslücke schließt, um Zeit für ein umfassendes Update zu gewinnen.

Von der fuerstnet GmbH werden regelmäßig Patches bereitgestellt, die ein Update auf die aktuellst Drupalversion sehr vereinfacht, siehe: http://fuerstnet.de/en/drupal-upgrade-easier.

Sollten Sie Hilfe beim Update benötigen oder generell einen Drupalexperten für die Wartung Ihrer Drupal-Website benötigen stehe ich Ihnen mit meinen Dienstleistungen gern zur Verfügung.

Übrigens: Schließen der Sicherheitslücke in Drupal ist nicht ausreichend – möglicherweise wurden sie bereits "gehackt".