Applying a patch to a Drupal module
Das Sicherheitsteam des beliebten Content-Management-Systems Drupal arbeitete mit den Betreuern dreier Drittanbieter-Module zusammen, um kritische Sicherheitslücken zu schließen, die Angreifer übernehmen könnten Websites.
Die Fehler ermöglichen es Angreifern, bösartige PHP-Code-Webserver auszuführen, auf denen Drupal-Websites mit den installierten Modulen RESTWS, Coder oder Webform Multiple File Upload installiert sind. Diese Module sind nicht Bestandteil des Drupal-Kerns, werden aber von Tausenden von Websites verwendet.
Das RESTWS-Modul ist ein beliebtes Werkzeug zum Erstellen von Rest-Anwendungsprogrammierschnittstellen (APIs) und ist derzeit auf über 5.800 Websites installiert. Nicht authentifizierte Angreifer können die Sicherheitsanfälligkeit bezüglich Remotecodeausführung in ihrer Seitenrückruffunktion ausnutzen, indem sie speziell gestaltete Anfragen an die Website senden.
[Weitere Informationen: Entfernen von Malware von Ihrem Windows-PC]Es gibt keinen schadensbegrenzenden Faktor die neueste Version des Moduls, die den Fehler behebt, wird dringend empfohlen.
Coder ist ein weiteres beliebtes Modul, mit dem Drupal-Administratoren ihren Code anhand verschiedener Codierungsstandards und Best Practices überprüfen können. Es ist auf mehr als 4.950 Webseiten installiert und es enthält auch eine Sicherheitslücke, die von nicht authentifizierten Angreifern ausgenutzt werden kann.
Das Modul muss nicht einmal aktiviert werden, damit der Fehler ausgenutzt werden kann Das Dateisystem ist ausreichend.
Schließlich ermöglicht das Webform-Modul zum Hochladen mehrerer Dateien Website-Administratoren, mehrere Dateien von Benutzern zu empfangen, und ist auf etwa 3.000 Websites installiert. Es hat auch eine Sicherheitslücke, die zu Remotecodeausführung führen kann, aber die Ausnutzung des Fehlers hängt davon ab, welche Bibliotheken auf der Website verfügbar sind.
Darüber hinaus muss ein Angreifer in der Lage sein, ein Webformular mit speziell gestalteten Eingaben einzureichen Bei der Konfiguration der Site ist möglicherweise eine Authentifizierung erforderlich. Da es schadensbegrenzende Faktoren gibt, die die Auswirkungen des Fehlers begrenzen könnten, wurde er nur als kritisch und nicht als äußerst kritisch bewertet.
Das Drupal CMS verfügt über eine Million Websites, darunter 1 von 10 der beliebtesten 10.000 Websites im Internet basierend auf einem bekannten Content-Management-System. Es wird häufig von Unternehmen verwendet.
Drupal-Benutzer: Angenommen, Ihre Website wurde gehackt, wenn Sie nicht sofort den 15. Oktober-Patch angewendet haben > Drupal-Websitebesitzern, die einen aktuellen kritischen Patch nicht schnell bereitstellen konnten, wurde empfohlen, ihre Sites aus Backups wiederherzustellen.
Benutzer von Drupal, einem der beliebtesten Content-Management-Systeme, sollten ihre Sites kompromittieren, wenn sie nicht sofort einen anwenden Sicherheitsupdate veröffentlicht am 15. Oktober.
Das LG G4: Drei Dinge richtig, drei Dinge falsch
Der Bildschirm und die Hauptkamera sind die zwei wichtigsten Werte
