Das Drupal Security Team hat kürzlich wieder auf ein neues Sicherheitsupdate für Drupal 8, Drupal 7 und Drupal 6 hingewiesen. Das Sicherheitsrisiko wird als Critical eingestuft. Wer den Hinweis auf dieses Update liest, sollte also möglichst bald mit dem Einspielen der Sicherheitsfixes beginnen.
Die aktuellen Release-Notes zum Drupal 8.0.4 und Drupal 7.43 Sicherheitsupdate findet man wie immer auf Drupal.org. Beim Update für Drupal 6 handelt es sich übrigends um das letzte Release für diese Drupal Version (EOL).
Welche Sicherheitslücken gibt es diesmal?
Mit dem Update werden folgende Issues gefixt:
- File upload access bypass and denial of service (File module - Drupal 7 and 8 - Moderately Critical)
- Brute force amplification attacks via XML-RPC (XML-RPC server - Drupal 6 and 7 - Moderately Critical)
- Open redirect via path manipulation (Base system - Drupal 6, 7 and 8 - Moderately Critical)
- Form API ignores access restrictions on submit buttons (Form API - Drupal 6 - Critical)
- HTTP header injection using line breaks (Base system - Drupal 6 - Moderately Critical)
- Open redirect via double-encoded ‘destination’ parameter (Base system - Drupal 6 - Moderately Critical)
- Reflected file download vulnerability (System module - Drupal 6 and 7 - Moderately Critical)
- Saving user accounts can sometimes grant the user all roles (User module - Drupal 6 and 7 - Less Critical)
- Email address can be matched to an account (User module - Drupal 7 and 8 - Less Critical)
- Session data truncation can lead to unserialization of user provided data (Base system - Drupal 6 - Less Critical)
Mehr dazu auf Drupal.org. Im Administrationsbereich seiner Drupalinstallation unter Berichte / Verfügbare Aktualisierungen bekommt man einen Hinweis auf das Update angezeigt. Über einen Klick auf Herunterladen wird das jeweilige Drupal Sicherheitsupdate zum Download bereit gestellt.
Es gab keine Anpassungen in den folgenden Dateien: .htaccess, web.config, robots.txt oder default settings.php files. Hier sind somit keine Updates notwendig.
Bitte lest euch die Release Notes des jeweiligen Updates durch. Dort sind detaillierte Informationen zu den gemachten Fixes enthalten. Die aktuellste Drupal Core Version könnt ihr euch auf Drupal.org herunter laden.
Tipp: Drupal Update vom Profi
Ihr wisst ja selbst wie wichtig es ist ein Sicherheits-Update schnell einzuspielen (z.B. Fall von Oktober 2014: Drupalgeddon). Und wir wissen aus Erfahrung, dass nur wenige Drupal Agenturen die Zeit haben ständig nach Updates Ausschau zu halten. Da es wichtig ist ein CMS wie Drupal immer Up-to-date zu halten bieten wir einen Update-Service für unsere Kunden (und solche die es werden wollen an). Dann gibt man Angreifern erst gar nicht die Möglichkeit Sicherheitslücken der Drupal-Systeme auszunutzen.
Denkt drüber nach. Und wenn ihr eure Drupal-Instanz von uns pflegen lassen wollt, dann gebt uns Bescheid. Alternativ könnt ihr aber auch unseren Server Monitoring Dienst nutzen. Der ist unter anderem auch für Drupal-Systeme ausgelegt und informiert automatisch per Mail über anstehende Updates.