Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen. Schon wieder stecken die Schwachstellen in Guzzle Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch). In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben. Auch CISA warnt vor den Lücken in Guzzle Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme
Weiterlesen

Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung. BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen. Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat das Guzzle-Projekt ein Update veröffentlicht, dass zwar nicht den Drupal-Core betrifft, aber Auswirkungen auf beigesteuerte Projekte oder speziell angepassten Code von Drupal-Seiten haben könnte. Der Fehler in Drittherstellerbibliothek Guzzle Die Schwachstelle im Guzzle-Projekt bezeichnen die Entwickler als "Cross-Domain Cookie Leakage". Der Fehler ist eine fehlende Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es über den "Set-Cookie"-Header setzt. Dadurch könnte ein bösartiger Server auch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich dann ins Konto ein und könne so an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko "hoch"). In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung deshalb außerhalb des üblichen Zeitrahmens herausgegeben haben, weil das Guzzle-Projekt schon Informationen über die [...]

2022-05-31T17:15:10+02:00Mai 31st, 2022|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme
Weiterlesen

Nicht mehr unterstützte Drupal-Erweiterungen deinstallieren

Weil die Entwickler Sicherheitslücken in ihren Erweiterungen nicht geschlossen haben, hat Drupal diese auf den Status "unsupported (nicht unterstützt)“ gesetzt und rät zur Deinstallation. Auf seiner Webseite listet Drupal viele Erweiterungen auf, mit dem die Admins das CMS erweitern können. Jetzt haben die Entwickler verschiedene dieser Erweiterungen in den Status "unsupported" versetzt, weil deren Entwickler nicht auf Meldungen von Sicherheitslücken reagiert und diese auch nicht beseitigt haben. Das Risiko durch diese Erweiterungen stufen die Drupal-Macher als kritisch ein und empfehlen den Nutzern, die betroffenen Erweiterungen jetzt zu deinstallieren. Große Zahl von Erweiterungen ohne Unterstützung Die Liste auf Drupals contrib-Seite enthält aktuell 16 Erweiterungen mit bekannten Sicherheitslücken, bei denen bisher niemand diese Schwachstellen beseitigt hat. Dabei geht es um diese Erweiterungen: Printer, email and PDF versions, Image Media Export Import, Remote Stream Wrapper, Vendor Stream Wrapper, Cog, Media Entity Flickr, Vocabulary Permissions Per Role, Exif, Business Responsive Theme, Swiftype integration, Rate, Expire reset password link, Admin Toolbar Search, Colorbox, Taxonomy Access Control Lite, Prevent anonymous users to access Drupal pages. Solange diese Drupal-Erweiterungen noch keine neuen Betreuer haben, sollten sie dringend deinstalliert werden. Ansonsten könnten Angreifer möglicherweise die bekannten Schwachstellen dafür ausnutzen, in verwundbare Drupal-Instanzen einzudringen.

2022-01-28T12:20:22+02:00Januar 28th, 2022|CMS, Sicherheit|Kommentare deaktiviert für Nicht mehr unterstützte Drupal-Erweiterungen deinstallieren
Weiterlesen

Drupal: Updates für Core-Module des CMS

Für das QuickEdit-Modul, die JSON:API- and REST/File-Module sowie das Media-Modul des Drupal-Kerns in den beiden Versionsreihen 8.x und 9.x des CMS stehen seit letzter Woche Aktualisierungen bereit. Mit den neuen Versionen von Drupal werden insgesamt fünf Sicherheitslücken geschlossen, die von den Entwicklern als "moderat kritisch" eingestuft wurden. Durch diese Lücken könnten Angreifer unter bestimmten Voraussetzungen zum Beispiel Zugriffs- und Validierungsmechanismen umgehen und dann auf vertrauliche Daten zugreifen. Weitergehende Informationen zu den Sicherheitslücken und den dagegen verfügbaren Updates finden Sie in den Advisories des Drupal-Teams: Access Bypass - SA-CORE-2021-010 Access bypass - SA-CORE-2021-009 Access bypass - SA-CORE-2021-008 Cross Site Request Forgery - SA-CORE-2021-007 Cross Site Request Forgery - SA-CORE-2021-006

2021-09-20T13:17:29+02:00September 20th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Drupal: Updates für Core-Module des CMS
Weiterlesen

Drupal: Sicherheitsupdates für Open Social und Subgroup

Drupal-Nutzer, die die Drupal-Module "Open Social" und "Subgroup" benutzen, sollten die Updates einspielen, die zwei Schwachstellen in Open Social und eine in Subgroup beseitigen. Unter ganz bestimmten Voraussetzungen könnten nämlich Angreifer diese Schwachstellen missbrauchen, um sich darüber unbefugten Zugriff auf Informationen und auch die Erweiterung ihrer Rechte innerhalb bestimmter Gruppen zu verschaffen. Die Schwachstellen im Modul Open Social wurden als "moderat kritisch" eingestuft. Benutzern der Hauptversion 8 wird das Update auf die abgesicherte Version 8.x-8.10 empfohlen. Benutzer von Version 9 sollten ihr CMS auf 8.x-9.8 aktualisieren. Die Einstufung der Schwachstelle im Modul Subgroup ist "weniger kritisch". Diese wurde mit der Version 1.0.1 behoben. Dabei empfiehlt das Advisory das Leeren des Caches direkt nach der Installation. Weiterführende Informationen und Updates Aktuell wurden noch keine Exploits im Netz beobachtet. Der Missbrauch der Schwachstellen setzt auch bestimmte Modul-Konfigurationen und in einem der Fälle ein Login mit normalen Nutzerrechten voraus. Detailliertere Informationen und auch die Links zu den verfügbaren Updates finden Sie in den Security Advisories zu den drei Schwachstellen: Open Social - Access bypass - SA-CONTRIB-2021-001 Open Social - Access bypass - SA-CONTRIB-2021-002 Subgroup - Access bypass - SA-CONTRIB-2021-003

2021-02-02T12:52:59+02:00Februar 2nd, 2021|CMS, Coding, Sicherheit|Kommentare deaktiviert für Drupal: Sicherheitsupdates für Open Social und Subgroup
Weiterlesen

Update für Drupal macht Archiv-Uploads sicher

In einer der Bibliotheken, die das beliebte CMS Drupal einsetzt, steckt ein Fehler und gefährdet Internetseiten mit bestimmten Einstellungen der Konfiguration. Inzwischen sind aber schon Sicherheitsupdates verfügbar. Es gibt aber auch einen Workaround, über den die Admins die Seiten auch einen gegen solche Angriffe schützen können. Die in der Warnmeldung der Entwickler als „kritisch“ bezeichnete Lücke (CVE-2020-36193) steckt in der pear-Archive_Tar-Bibliothek. Diese Library kümmert sich um die Verarbeitung von komprimierten Archiven wie zum Beispiel .tar. War ein Angriff erfolgreich, dann könnten Angreifer schreibend auf den Internetserver zugreifen (Directory Traversal). Workaround: Upload von Archiven verbieten Allerdings sind nur Seiten bedroht, bei denen der Upload solcher Dateien erlaubt ist. Wenn die Admins diese Funktion deaktivieren, ist die Gefahr erst einmal gebannt. Besser wäre es aber, jetzt eine der abgesicherten Versionen 7.78, 8.9.13, 9.0.11 oder 9.1.3 zu installieren. Die Drupal-Entwickler weisen auch darauf hin, dass der Support für älter Versionen als 8.9.x inzwischen ausgelaufen ist und dass diese veralteten Versionen keine Sicherheitsupdates mehr bekommen.

2021-01-22T10:26:51+02:00Januar 22nd, 2021|CMS, Sicherheit|Kommentare deaktiviert für Update für Drupal macht Archiv-Uploads sicher
Weiterlesen

Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Wer bei seinem Content-Management-System (CMS) Drupal Version 8 das OAuth-Server-Modul installiert hat, läuft Gefahr, über SQL-Injection angegriffen zu werden und sollten so schnell wie möglich ein Update auf das OAuth-Server-Modul für Drupal 8 auf die Version 8.x-1.1 durchführen. Nach einem aktuellen Sicherheitshinweis sind ältere Versionen des OAuth-Server-Moduls anfällig für Angriffe über SQL Injection. Die neue Version 8.x-1.1 schließt die als „moderat kritisch“ bewertete Lücke. Leider kann man dem Security Advisory SA-CONTRIB-2020-034 keine Details beispielsweise zu möglichen Konsequenzen eines erfolgreichen Angriffs auf die mit "moderately critical" bewertete Lücke entnehmen. Verwundbar soll der der komplette Versionszweig 8.x sein, weshalb auch die Entwickler ein Update auf die abgesicherte OAuth-Server-Modulversion 8.x-1.1 empfehlen.

2020-10-16T20:05:54+02:00Oktober 16th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul
Weiterlesen

Updates gegen kritische Lücken in drei Modulen von Drupal

Am Mittwoch hat das Team des weit verbreiteten CMS Drupal drei Security-Advisories zu den Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb des CMS veröffentlicht. In der ersten steckt eine mit "critical", in den anderen beiden eine mit "moderately critical" bewertete Sicherheitslücke. Die Entwickler der Module haben deshalb Updates veröffentlicht, die die Nutzer von Drupal zeitnah einspielen sollten. Unbefugte Zugriffe und sogar Cross-Site-Scripting möglich Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Wenn Angreifer den vollen Klassennamen ("fully-qualified class name") eines Formulars kennen, könntensie beliebig sowohl lesend als auch übermittelnd auf das Formular zugreifen, heißt es in der Beschreibung. Verwundbar sei die Version 8.x-1.x-dev. Deshalb sollten Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf die bereinigte Version 8.x-1.2 updaten. Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich ausschließlich an Nutzer von Drupal 8. Wer noch die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte jetzt auf 8.x-1.12 (Apigee Edge) bzw. 8.x-1.13 (Easy Breadcrumb) aktualisieren. Bei Nutzung der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt Emailadressen aus anderen Drupal-Konten einsehen, wenn einige Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit "Manage team members"-Erlaubnis) erfüllt sind. Bei Nutzung des verwundbaren Easy Breadcrumb-Moduls sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe durch Editor-Eingaben [...]

2020-07-25T09:56:44+02:00Juli 25th, 2020|CMS, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Updates gegen kritische Lücken in drei Modulen von Drupal
Weiterlesen

Kritische Lücken in Drupal-Modulen

Zwei Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen Angriffe auf mit dem Content Management System (CMS) Drupal 8.x erstellte Internetseitem angreifbar. Deshalb haben die Drupal-Entwickler das Sicherheitsrisiko als "kritisch" bewertet. Inzwischen sind aber abgesicherte Versionen sind verfügbar. Die reCaptcha-Lücke Wegen einer fehlenden Überprüfung könnten kriminelle Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage entweder ungültige oder unvollständige Formulare auf den Server übertragen. Wo genau das Ziel eines solchen Angriffs liegt, führt Drupal in seiner Sicherheitswarnung dazu leider nicht weiter aus. Die abgesicherte Versiondes CMS trägt die Versionsnummer 8.x-1.2. Die Webforms-Lücke Ein ähnlicher Fehler im Modul Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Informationen zugreifen könnten. Hier schließt die Version 8.x-5.12  die zweite Sicherheitslücke in dem beliebten CMS. Weitergehende Informationen zu den Sicherheitslücken gibt Drupals Security Advisory: reCAPTCHA v3 - Critical - Access bypass - SA-CONTRIB-2020-019 Critical - Access bypass - SA-CONTRIB-2020-018

2020-05-15T10:06:13+02:00Mai 15th, 2020|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in Drupal-Modulen
Weiterlesen

Drupal: Angriffe auf Admin-Accounts

Durch eine Sicherheitslücke in der Bibliothek des CKEditor werden Admin-Konten von Drupal angreifbar. Wenn Sie auf einer mit dem Content Management System (CMS) Drupal erstellten Website die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer nutzen, sollten Sie das CMS jetzt dringend auf den aktuellen Stand bringen. Vom Drupal-Team wird die Sicherheitslücke in der Bibliothek als "moderat kritisch" eingestuft. Davon betroffen sind die Versionen Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind abgesichert, wie man einer Meldung der Entwickler entnehmen kann. Mit den aktuellen Versionen kommt jeweils auch die reparierte CKEditor-Version 4.14 mit. Benutzer von Drupal 7 sollten dabei auch sicherstellen, dass diese CKEditor-Version auch in dem System installiert ist. Kriminelle Angreifer, die mit der Bibliothek Content für eine verwundbare Website erstellen können, könnten über die Schwachstelle unter Umständen auch Admin-Konten über XSS-Attacken angreifen.

2020-03-20T19:34:17+02:00März 20th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: Angriffe auf Admin-Accounts
Weiterlesen
Nach oben