Drupal: Erneut erlauben Lücken die Website-Übernahme

Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab. Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit [...]

2022-06-15T07:55:02+02:00Juni 15th, 2022|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Drupal: Erneut erlauben Lücken die Website-Übernahme

Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung. BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen. Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat [...]

2022-05-31T17:15:10+02:00Mai 31st, 2022|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitslücke im CMS Drupal erlaubt Website-Übernahme

Nicht mehr unterstützte Drupal-Erweiterungen deinstallieren

Weil die Entwickler Sicherheitslücken in ihren Erweiterungen nicht geschlossen haben, hat Drupal diese auf den Status "unsupported (nicht unterstützt)“ gesetzt und rät zur Deinstallation. Auf seiner Webseite listet Drupal viele Erweiterungen auf, mit dem die Admins das CMS erweitern können. Jetzt haben die Entwickler verschiedene dieser Erweiterungen in den Status "unsupported" versetzt, weil deren Entwickler nicht auf Meldungen von Sicherheitslücken reagiert und diese auch nicht beseitigt haben. Das Risiko durch diese Erweiterungen stufen die Drupal-Macher [...]

2022-01-28T12:20:22+02:00Januar 28th, 2022|CMS, Sicherheit|Kommentare deaktiviert für Nicht mehr unterstützte Drupal-Erweiterungen deinstallieren

Drupal: Updates für Core-Module des CMS

Für das QuickEdit-Modul, die JSON:API- and REST/File-Module sowie das Media-Modul des Drupal-Kerns in den beiden Versionsreihen 8.x und 9.x des CMS stehen seit letzter Woche Aktualisierungen bereit. Mit den neuen Versionen von Drupal werden insgesamt fünf Sicherheitslücken geschlossen, die von den Entwicklern als "moderat kritisch" eingestuft wurden. Durch diese Lücken könnten Angreifer unter bestimmten Voraussetzungen zum Beispiel Zugriffs- und Validierungsmechanismen umgehen und dann auf vertrauliche Daten zugreifen. Weitergehende Informationen zu den Sicherheitslücken und den dagegen verfügbaren Updates finden Sie [...]

2021-09-20T13:17:29+02:00September 20th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Drupal: Updates für Core-Module des CMS

Drupal: Sicherheitsupdates für Open Social und Subgroup

Drupal-Nutzer, die die Drupal-Module "Open Social" und "Subgroup" benutzen, sollten die Updates einspielen, die zwei Schwachstellen in Open Social und eine in Subgroup beseitigen. Unter ganz bestimmten Voraussetzungen könnten nämlich Angreifer diese Schwachstellen missbrauchen, um sich darüber unbefugten Zugriff auf Informationen und auch die Erweiterung ihrer Rechte innerhalb bestimmter Gruppen zu verschaffen. Die Schwachstellen im Modul Open Social wurden als "moderat kritisch" eingestuft. Benutzern der Hauptversion 8 wird das Update auf die abgesicherte Version 8.x-8.10 [...]

2021-02-02T12:52:59+02:00Februar 2nd, 2021|CMS, Coding, Sicherheit|Kommentare deaktiviert für Drupal: Sicherheitsupdates für Open Social und Subgroup

Update für Drupal macht Archiv-Uploads sicher

In einer der Bibliotheken, die das beliebte CMS Drupal einsetzt, steckt ein Fehler und gefährdet Internetseiten mit bestimmten Einstellungen der Konfiguration. Inzwischen sind aber schon Sicherheitsupdates verfügbar. Es gibt aber auch einen Workaround, über den die Admins die Seiten auch einen gegen solche Angriffe schützen können. Die in der Warnmeldung der Entwickler als „kritisch“ bezeichnete Lücke (CVE-2020-36193) steckt in der pear-Archive_Tar-Bibliothek. Diese Library kümmert sich um die Verarbeitung von komprimierten Archiven wie zum Beispiel .tar. War [...]

2021-01-22T10:26:51+02:00Januar 22nd, 2021|CMS, Sicherheit|Kommentare deaktiviert für Update für Drupal macht Archiv-Uploads sicher

Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Wer bei seinem Content-Management-System (CMS) Drupal Version 8 das OAuth-Server-Modul installiert hat, läuft Gefahr, über SQL-Injection angegriffen zu werden und sollten so schnell wie möglich ein Update auf das OAuth-Server-Modul für Drupal 8 auf die Version 8.x-1.1 durchführen. Nach einem aktuellen Sicherheitshinweis sind ältere Versionen des OAuth-Server-Moduls anfällig für Angriffe über SQL Injection. Die neue Version 8.x-1.1 schließt die als „moderat kritisch“ bewertete Lücke. Leider kann man dem Security Advisory SA-CONTRIB-2020-034 keine Details beispielsweise zu möglichen Konsequenzen [...]

2020-10-16T20:05:54+02:00Oktober 16th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: SQL-Injection-Angriffe auf OAuth-Server-Modul

Updates gegen kritische Lücken in drei Modulen von Drupal

Am Mittwoch hat das Team des weit verbreiteten CMS Drupal drei Security-Advisories zu den Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb des CMS veröffentlicht. In der ersten steckt eine mit "critical", in den anderen beiden eine mit "moderately critical" bewertete Sicherheitslücke. Die Entwickler der Module haben deshalb Updates veröffentlicht, die die Nutzer von Drupal zeitnah einspielen sollten. Unbefugte Zugriffe und sogar Cross-Site-Scripting möglich Mit der kritischen Lücke in Modal Form befasst sich das Advisory [...]

2020-07-25T09:56:44+02:00Juli 25th, 2020|CMS, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Updates gegen kritische Lücken in drei Modulen von Drupal

Kritische Lücken in Drupal-Modulen

Zwei Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen Angriffe auf mit dem Content Management System (CMS) Drupal 8.x erstellte Internetseitem angreifbar. Deshalb haben die Drupal-Entwickler das Sicherheitsrisiko als "kritisch" bewertet. Inzwischen sind aber abgesicherte Versionen sind verfügbar. Die reCaptcha-Lücke Wegen einer fehlenden Überprüfung könnten kriminelle Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage entweder ungültige oder unvollständige Formulare auf den Server übertragen. Wo genau das Ziel eines solchen Angriffs liegt, führt Drupal in seiner Sicherheitswarnung [...]

2020-05-15T10:06:13+02:00Mai 15th, 2020|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in Drupal-Modulen

Drupal: Angriffe auf Admin-Accounts

Durch eine Sicherheitslücke in der Bibliothek des CKEditor werden Admin-Konten von Drupal angreifbar. Wenn Sie auf einer mit dem Content Management System (CMS) Drupal erstellten Website die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer nutzen, sollten Sie das CMS jetzt dringend auf den aktuellen Stand bringen. Vom Drupal-Team wird die Sicherheitslücke in der Bibliothek als "moderat kritisch" eingestuft. Davon betroffen sind die Versionen Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind abgesichert, wie man einer Meldung der Entwickler entnehmen [...]

2020-03-20T19:34:17+02:00März 20th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: Angriffe auf Admin-Accounts
Nach oben