Das beliebte Content-Management-System Drupal ist von einer schwerwiegenden Sicherheitslücke betroffen – diese wird als „Worst-Case-Sicherheitslücke“ eingestuft („Highly Critical“) und ist im Netz auch als „Drupageddon“ bekannt. Die kritische Lücke ermöglicht es Angreifern, die betroffene Website direkt zu übernehmen.
Die Angreifer können ohne jegliche Authentifizierung mit nur einem POST-Request beliebige SQL-Kommandos ausführen, was schwerwiegende Folgen – bis hin zum Komplettausfall der Website – haben kann!
Drupal selbst hat nun bereits reagiert: Für die Lücke mit dem Namen „SA-CORE-2014-005“ gibt es bereits ein Update!
Alle Seitenbetreiber, die Drupal 7 einsetzen, sollten schnellstmöglich ein Core-Update durchführen und auf Version 7.32 zu aktualisieren. Für alle, die den Core nicht kurzfristig updaten können, gibt es auch einen Patch.
Ältere Versionen, wie zB Drupal 6, sind von der Sicherheitslücke nicht betroffen.
internex hat wie immer proaktiv reagiert und die Betreiber von bei uns gehosteten Websites informiert.