Neues Drupal-Update schießt kritische Sicherheitslücken

Kritische Sicherheitslücken in Drupal ermöglichen es Kriminellen, schadhaften PHP Code auf dem Server zur Ausführung zu bringen.

Das Content-Management-System (CMS) und Framework Drupal gehört zu den leistungsfähigsten Content-Management-Plattformen weltweit. Eingesetzt für die Gestaltung und Verwaltung einfacher Webseiten und Blogs, wird das CMS mit seinen leistungsfähigen und umfangreichen APIs, für komplexe Unternehmensauftritte und Webshops eingesetzt. Rund 2,3% aller Webseiten weltweit werden mit Drupal betrieben.

Mit dem neuen Drupal-Update 8.3.4 und 7.56 werden vor allem drei kritische Sicherheitslücken geschlossen, die zum Teil bereits aktiv missbraucht werden. Nicht nur, dass Kriminelle die Remote Code Execution im YAML-Parser aktiv nutzen, um Fremdcode auszuführen, es werden von anonymen Nutzern bereits Bilder und Dateien hochgeladen, die öffentlich über das Internet in diverse Spam-Kampagen eingebunden und missbraucht werden.

Folgende Sicherheitslücken werden in Drupal geschlossen:

  • PECL YAML parser unsafe object handling (CVE-2017-6920): kritische Schwachstelle, betrifft Drupal 8
  • File REST resource does not properly validate (CVE-2017-6921): weniger kritisch, betrifft Drupal 8
  • Files uploaded by anonymous users into a private file system can be accessed by other anonymous users (CVE-2017-6922): mäßig kritisch, betrifft Drupal 7 und 8

Weitere Informationen zu den Schwachstellen sind in den Security Advisories von Drupal zusammengefasst. Administratoren wird dringen empfohlen die bestehenden Drupal 8 und 7 Versionen zu aktualisieren.

Downloads:

Drupal core 8.3.4 Released: Jun 21 2017

 

 

 Drupal core 7.56 Released: Jun 21 2017

Posted in News and tagged , , , , , , .