Drupal

/Tag:Drupal

Viele Drupal-Websites sind immer noch verwundbar

Man mag es kaum glauben, aber noch immer gibt es über 100.000 auf dem CMS Drupal basierende Websites, die über eine lange bekannte kritische Sicherheitslücke, über die wir auch schon vor über zwei Monaten berichtet haben, angreifbar sind. Sicherheitsupdates gegen die Schwachstelle sind seit über zwei Monaten verfügbar. In diesen Tagen sind Sicherheitsforscher von Bad Pockets Report auf über 115.000 Drupal-Websites gestoßen, die anfällig für Angriffe über die kritische Sicherheitslücke CVE-2018-7600 sind, wie sie in einem Blogeintrag berichten. Die Schwachstelle ist schon seit Ende März bekannt, und zu diesem Zeitpunkt erschienen auch Sicherheitspatches gegen das Problem. Nach eigenen Angaben haben die Sicherheitsforscher eine halbe Million Drupal-Webseiten untersucht, die die Version 7 des Content Management Systems (CMS) nutzen. Davon war noch etwa ein Viertel über CVE-2018-7600 verwundbar. Rund ein Drittel hatten bereits eine abgesicherte Version installiert. Bei 47 Prozent der Websites konnten die Sicherheitsforscher die genutzte Drupal-Version nicht ermitteln. Updates schon seit [...]

By | 2018-06-05T18:55:40+00:00 Juni 5th, 2018|Allgemein, Coding, Javascript, PHP, Webwerkzeuge|Kommentare deaktiviert für Viele Drupal-Websites sind immer noch verwundbar

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

By | 2018-03-23T21:17:26+00:00 März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Veraltete WordPress-Plugins locken Hacker an

Die Sicherheitsfirma Sucuri hat im ersten Quartal dieses Jahres mehr als 11.000 kompromittierte Internetseiten untersucht. Aus ihrem Bericht geht hervor, dass häufig  erweiterbare Komponenten von CMS den Angreifern als Einfallstor dienen. Mehr als 1 Milliarde Internetseiten auf CMS-Basis Zurzeit sind über eine Milliarde Internetseiten aufrufbar, und hinter mehr als einem Drittel von ihnen stehen die Content-Management-Systeme (CMS) WordPress, Joomla, Drupal und Magento. Von diesen CMS hat WordPress einen Marktanteil von über 60 Prozent, was auch auf seine durch Themes und Plugins vielfach erweiterbare Plattform zurückzuführen ist. Bei WordPress fanden die Sucuri-Sicherheitsforscher auf jeder vierten der gehackten Seiten veraltete und anfällige Versionen der Plugins RevSlider, GravityForms und TimThumb. Die untersuchten Hackerangriffe hatten jedoch kaum etwas mit der Kernanwendung des CMS zu tun, sondern mehr mit unsachgemäßer Installation, Konfiguration und Wartung durch Administratoren oder Hoster. Die Infektionsursachen Die häufigste Ursache von Infektionen waren Schwachstellen in den Erweiterungs-Komponenten i.e. Plugins, Erweiterungen, Module, Templates, Themes und ähnlichen Komponenten Obwohl schon lange automatische Updates möglich sind, waren 56 Prozent aller infizierten WordPress-Sites nicht auf dem aktuellen Stand. Das ist im Vergleich zu [...]

By | 2018-01-27T21:20:02+00:00 Mai 25th, 2016|CMS, CSS, HTML, PHP|Kommentare deaktiviert für Veraltete WordPress-Plugins locken Hacker an

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren. Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet. Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten. Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen. Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, [...]

By | 2016-02-25T17:04:25+00:00 Februar 25th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für CMS Drupal

Sicherheitslücke im CMS Drupal geschlossen

Das Drupal Security Team hat jetzt ein Update bereitgestellt, das eine kritische Sicherheitslücke schließt. Bisher konnten Angreifer darüber ohne Authentifizierung mit einem einzelnen POST-Request beliebige SQL-Befehle ausführen und auf diese Weise die Internetseite komplett übernehmen. Das CMS Drupal wird von mehreren bekannten Internetseiten benutzt, darunter die des Weißen Hauses und Musiker-Webseiten wie etwa die von Bob Dylan. Wer Drupal 7 installiert hat, sollte jetzt auch so schnell wie möglich das Core-Update einspielen. Wer den Core seines Drupal-Systems nicht kurzfristig austauschen kann, sollte wenigstens den Patch anwenden, der die problematische  Codezeile mit der Sicherheitslücke entschärft. Die ältere Version des CMS Drupal 6 ist von dem Problem nicht betroffen. Die Lücke steckt im  Datenbank-Layer, der erst mit Drupal 7 eingeführt wurde.

By | 2014-10-16T23:52:23+00:00 Oktober 16th, 2014|CSS, HTML, PHP|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal geschlossen

Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

Die Sicherheit von Web-CMS-Lösungen wie Drupal, Joomla!, Plone, Typo3 und WordPress hat das Bundesamts für Sicherheit in der Informationstechnik (BSI) in einer Studie untersucht. Diese CMS werden gerne zur Erstellung von Homepages benutzt, weil sie nichts kosten. Gerade solche weit verbreiteten können für Angreifer das erste Ziel  bei dem Versuch sein, in das interne Netz eines Unternehmens einzudringen. Hinzu kommt, dass diese Systeme häufig ohne weitere Anpassungen installiert und benutzt werden, so dass eine neu gefundene Schwachstelle auf einen Schlag viele Internetseiten gleichzeitig gefährdet. Weiter Details und Erläuterungen dazu finden Sie auch bei Heise.

By | 2018-01-27T21:20:32+00:00 Juni 21st, 2013|Allgemein, CMS|Kommentare deaktiviert für Eine BSI-Studie zu WordPress, Drupal, Typo 3 & Co.

Drupal-Accounts auf drupal.org gehackt

Nach einem Bericht von Heise wurden die Drupal-Server vorgestern gehackt. Zugriffe auf alle Nutzerdaten für Drupal.org und Groups.Drupal.org wurden dabei registriert. Deshalb hat der Betreiber alle Passwörter auf drupal.org zurückgesetzt. Wenn Sie Webseiten mit Drupal erstellen und einen Account dort haben, können Sie sich dort ein neues Passwort geben lassen. Es sind insgesamt fast eine Million Accounts betroffen! Die Kriminellen hatten offensichtlich Zugriff auf alle Nutzerdaten. Dazu gehörten Benutzernamen, Emailadressen, Länderinformationen und die gehashten Passwörter, einige ältere dieser Passwörter „ungesalzen“. Ob auch noch andere Daten gestohlen wurden, untersucht Drupal noch. Kreditkartendaten von Benutzern sollen nicht auf den Servern gespeichert worden sein.

By | 2013-05-31T16:22:11+00:00 Mai 31st, 2013|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Drupal-Accounts auf drupal.org gehackt

Internetseiten erstellen mit dem CMS WordPress

Gerade wenn es auf Inhalte ankommt, bietet sich Wordpress als Content Management System (CMS) aus dem Open Source-Bereich an. Wer schon einmal Webseiten mit Wordpress erstellt hat, weiß, wie einfach man neue Seiten anlegen und pflegen kann. Auch was Designs angeht hat man die freie Auswahl – es gibt Tausende von freien Designs zu Wordpress. Auch die meisten kostenpflichtigen Designs sind ihr Geld wert, und wer sich tiefer mit der Materie beschäftigt, hat auch kein Problem damit, eigene zu erstellen. Das sind wohl auch die Gründe dafür, dass eine Untersuchung von Water & Stone vor einer guten Woche zeigte, das Wordpress inzwischen das beliebteste kostenlose Content Management System geworden ist, und das mit einem deutlichen Abstand zu den zweit- und drittplatzierten CMS Joomla und Drupal.

By | 2018-01-27T21:20:56+00:00 Dezember 12th, 2011|Allgemein, CMS, HTML|1 Comment

Version 7 von Drupal erschienen

Im letzten Monat erschien die Version 7 des auf PHP basierenden CMS Drupal. Die Neuerungen und Verbesserungen betreffen neben anderen Funktionen die Barrierefreiheit sowohl bei den von Drupal erzeugten Internetseiten als auch im Backend. Neu ist auch ein Render-API und automatisierte Tests für Patches und Module, benutzerdefinierte Felder für diverse Inhalte. Zu Drupal 7 gibt es über 800 Erweiterungsmodule. Die neue Version braucht PHP Version 5.2 mit PDO-Erweiterung für die Datenbankabstraktion und entweder MySQL 5 oder PostGre 8.3. In der 7er Version kann Drupal alternativ auch mit SQLite arbeiten. Weitere Datenbanken lassen sich über Module ansteuern.

By | 2011-02-03T08:32:09+00:00 Februar 3rd, 2011|Allgemein|Kommentare deaktiviert für Version 7 von Drupal erschienen

Drupal – ein CMS für Community-Websites

Drupal ist zwar ein weit verbreitetes CMS, hat seine Stärken aber nicht unbedingt im Content-Management. Das System ist eher für das Erstellen und Pflegen auch größerer Communities ausgelegt und diesen Bereich deckt es sehr gut ab. Drupal bietet dazu ein ausgefeiltes Benutzer-Management und viele Module wie Blogs und Foren als interaktive Bestandteile. Die Architektur von Drupal ist für Content Management Systeme typisch. Man kann das Kernsystem mit zusätzlichen Modulen erweitern, um die gewünschten oder benötigten Zusatzfunktionen zu realisieren. DieSchnittstelle ( API) zur Integration von solchen Modulen ist bei Drupal gut dokumentiert und im Internet wird eine Unzahl von Erweiterungen für das CMS angeboten. Das Aussehen der erstellten Seiten, also Design und Layout, wird von einem Template-System gesteuert. Auch diese Templates (auch Skins oder Designs genannt) zu Drupal findet man in großer Zahl im Internet. Zum Ablaufen braucht Drupal auf dem Server PHP in der Version 4.3.5 oder höher und [...]

By | 2010-04-27T07:35:01+00:00 Mai 1st, 2010|Allgemein|Kommentare deaktiviert für Drupal – ein CMS für Community-Websites