2018-0594: Drupal Core: Eine Schwachstelle ermöglicht die komplette Kompromittierung des Systems

Historie:

Version 1 (2018-03-29 13:35)

Neues Advisory

Version 2 (2018-03-29 18:45)

Für die alte stabile Distribution Jessie (8.10) sowie die aktuelle stabile Distribution Stretch (9.4) stehen Backport-Sicherheitsupdates für das Paket 'drupal7' zur Behebung der Schwachstelle zur Verfügung.

Version 3 (2018-04-16 13:31)

Der Hersteller weist in einem gesonderten Public Service Announcement darauf hin, dass seit Mittwoch, 11.04.2018 automatisierte Angriffe auf diese Schwachstelle durchgeführt werden. Es sind mittlerweile auch Fälle bekannt, bei denen die Angreifer selbst die Schwachstelle behoben haben, nachdem sie sich Zugang zu den Systemen verschafft und dort eine Backdoor installiert haben. Anwender, die ein aktuelles Drupal vorfinden, das sie nicht selbst gepatcht haben, sind möglicherweise auf diese Art betroffen. Drupal hat ein Dokument veröffentlicht, in dem Hinweise zum Vorgehen bei erfolgten Kompromittierungen aufgeführt sind.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in Drupal Core ermöglicht einem entfernten, nicht authentisierten Angreifer die Ausführung beliebigen Programmcodes und damit die komplette Kompromittierung der Drupal-Instanz.
Der Hersteller stuft die Schwachstelle als 'highly critical' ein und empfiehlt ein schnellstmögliches Update, da mit der Verfügbarkeit von Exploits kurzfristig zu rechnen ist.

Drupal stellt für den Versionszweig 8.5.x die Version 8.5.1 und den Versionszweig 7.x die Version 7.58 als Sicherheitsupdate zur Behebung der Schwachstelle zur Verfügung. Die ebenfalls betroffenen Versionen 8.3.x und 8.4.x werden eigentlich nicht länger unterstützt und normalerweise nicht mit Sicherheitsupdates versorgt, aufgrund der Kritikalität der Schwachstelle wird hier von dem Standard allerdings abgewichen und die Versionen 8.3.9 und 8.4.6 als Sicherheitsupdates bereitgestellt. Für alle Versionszweige 7.x, 8.3.x, 8.4.x und 8.5.x steht alternativ zum Update auf die fehlerbereinigte Version ein Patch zur Verfügung.
Für Drupal 8.2.x und frühere Versionen ist ein Upgrade auf eine der zuvor genannten Versionen erforderlich, um die Schwachstelle zu beheben.
Die Schwachstelle betrifft auch die nicht mehr unterstützte Version 6.x. Nutzer dieses Versionszweiges sollten sich mit einem Drupal 6 LTS Hersteller in Verbindung setzen, um weitere Informationen zu etwaigen Mitigationen zu erhalten.

Für die Distributionen Fedora 26 und Fedora 27 sowie für Fedora EPEL 6 und EPEL 7 stehen Sicherheitsupdates für den Versionszweig 7 in Form von 'drupal7-7.58-1'-Paketen im Status 'pending' bereit. Ebenfalls im Status 'pending' befinden sich die Sicherheitsupdates für den Versionszweig 8 für Fedora 26 in Form des Paketes 'drupal8-8.3.9-1' und für Fedora 27 in Form des Paketes 'drupal8-8.4.6-1'. In allen Sicherheitsupdates werden Schwachstellen von vorhergehenden Drupal Versionen ebenfalls als behoben referenziert.

Schwachstellen:

CVE-2018-7600

Schwachstelle in Drupal ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.