In letzter Zeit geht es bei den Drupal Updates Schlag auf Schlag. Gestern, den 6. August 2014 hat das Drupal Security Team auf ein neues Sicherheitsupdate für Drupal 6 und Drupal 7 hingewiesen. Das Sicherheitsrisiko wird als moderat eingestuft, dennoch ist eine baldige Update-Installation empfehlenswert. Die aktuellen Release-Notes zum Drupal 7.31 und Drupal 6.33 Sicherheitsupdate findet man wie immer auf Drupal.org.
Im Administrationsbereich seiner Drupalinstallation unter Berichte / Verfügbare Aktualisierungen bekommt man einen Hinweis auf das Update angezeigt. Über einen Klick auf Herunterladen wird das jeweilige Drupal Sicherheitsupdate zum download bereit gestellt. Was passiert, wenn man das Update nicht installiert? Von außen kann remote auf das Drupal-System zugegriffen werden, was im schlimmsten Fall einen Denial of service zur Folge hat.
Folgende angreifbare Bereiche wurden gefixt:
Bei Drupal 6 und Drupal 7 kann auf die öffentlich zugängliche Datei xmlrpc.php zugegriffen werden. Der PHP XML Parser, welcher vom XML-RPC Endpoint eingesetzt wird ist angreifbar über eine XML Entity Expansions-Attacke und andere ähnliche XML Payload Angriffe. Diese können eine erhöhte CPU und Memory Auslastung zur Folge haben als auch eine maximale Anzahl an offenen Datenbankverbindungen. Werden DoS-Angriffe auf den jeweiligen Server gestartet, kann jeder der hier Punkte dafür verantwortlich sein, dass die Seite aufgrund der Überlastung nicht mehr von außen zugänglich ist. Von diesem Sicherheitsrisiko sind aktuell alle Drupalseiten betroffen, unabhängig davon ob die XML-RPC verwendet wird oder nicht. Seiten, die zusätzlich das OpenID Modul aktiv einsetzen sind der gleichen Gefahr eines DoS-Angriffs ausgesetzt.
Das aktuelle Sicherheitsupdate soll die genannten Angriffsbereiche fixen. Bitte lest euch die Release Notes des jeweiligen Updates durch, dort sind detaillierte Informationen zu den gemachten Fixes enthalten. Die aktuellste Drupal Core Version könnt ihr euch auf Drupal.org herunter laden.