Im Content-Management-System (CMS) Drupal klaffen wohl heftige Sicherheitslücken. Angreifer können darüber eigenen PHP-Code auf dem Server ausführen.
Das Drupal-Sicherheitsteam hat am 21. Juni 2017 den Beitrag Drupal Core – Multiple Vulnerabilities – SA-CORE-2017-003 veröffentlicht, der die Sicherheitslücken in Drupal 7 und Drupal 8 anspricht. Gleichzeitig stehen auf der Seite aktualisierte Fassungen von Drupal 7.56 und Drupal 8.3.4 zum Download bereit.
Eine Lücke ermöglicht Angreifern über eine Schwachstelle im YAML-Parser eigenen PHP-Code einzuschleusen und auszuführen. Auch die RESTful Schnittstelle zum Upload von Dateien weist eine Sicherheitslücke auf. Unter anderem wurde die Upload-Möglichkeit von Spammern genutzt, um öffentlich abrufbare Bilder auf Drupal-Webseiten abzulegen. Drupal-Administratoren sollten die Installation so schnell als mögliche auf die oben angegebenen Versionen aktualisieren. (via)
Code Injection scheint bei CMS-Systemen immer noch eines der größten Probleme zu sein. Die Angriffsfläche ist da ja auch riesengroß, angefangen von SQL bis hin zu solchen Spezialschnittstellen.
Hier müsste eigentlich ein Sicherheitsteam regelmäßige Audits durchführen, bevor eine neue Version veröffentlicht wird, wenn… ja wenn man sich das leisten könnte.