Drupal mit schweren Sicherheitslücken

Aktuell zwingen 4 schwere Sicherheitslücken in Drupal 7 und Drupal 6 Administratoren dazu, ihre bestehenden Drupal-Seiten zu aktualisieren. Besonders schwer wiegt eine Lücke im OpenID-Modul, die es dem Angreifer ermöglicht, das Administratorkonto zu übernehmen. Daher wird dringend empfohlen auf die neuste Drupal Version zu aktualisieren.

Durch die Lücke im OpenID-Modul können die vollen Rechte über die Drupal-Seite erlangt werden und somit nicht nur bestehende Admins aus dem CMS ausgesperrt werden, sondern auch sämtliche Daten (Benutzer und Inhalte) ausgelesen, gespeichert und geändert werden. Aber auch das Implementieren von Schadcode, um Besucher der Webseite zu infizieren ist möglich.

Nicht minder schwer wiegen die anderen Lücken. So ermöglichen zwei Lücken das Umleiten von Besuchern auf andere Internetseiten, ohne das dies aktiv angezeigt wird.

Die vierte Lücke ermöglicht es die bestehenden Restriktionen der Benutzergruppen zu umgehen. So kann ein normaler User auch Zugang erhalten zu Admin-Inhalten oder für bestehende Kundenbereiche einsehen.

Die vier genannten Sicherheitslücken sind alle in Drupal 7 vorhanden. Die Sicherheitslücke um das OpenID-Modul jedoch auch in Drupal 6. 

Die Entwickler von Drupal haben bereits diese Lücken beheben können und raten dringend auf Drupal Version 7.38 oder Drupal Version 6.36 zu aktualisieren.

Ausführliche Informationen zu den Sicherheitslücken unter: www.drupal.org/SA-CORE-2015-002

Sollten Sie Hilfe bei der Aktualisierung Ihres CMS (Typo3, Drupal, Shopware, Joomla etc.) brauchen, [wenden Sie sich an uns]