Kürzlich wurde das Drupal 8.1.7 Maintenance Release veröffentlicht und stellt unter anderem ein paar wichtige Sicherheitsfixes bereit. Wir empfehlen euch die auf Drupal.org verfügbare Downloadversion bald zu installieren, denn das Sicherheitsteam von Drupal.org stuft das Risiko als “Highly critical” ein.
Drupal 8 verwendet die Drittanbieter PHP Bibliothek Guzzle für serverseitige HTTP Requests, welche einen einfachen Missbrauch durch Angreifern möglich macht. Weitere Informationen hierzu gibt es unter https://httpoxy.org/. Mit dem verfügbaren Update wird das Sicherheitsloch gefixt. Drupal 7 Installationen sind nicht davon betroffen.
So funktioniert das Update
Im Administrationsbereich seiner Drupalinstallation unter Berichte / Verfügbare Aktualisierungen bekommt man einen Hinweis auf das Update angezeigt. Über einen Klick auf Herunterladen wird das jeweilige Drupal Sicherheitsupdate zum Download bereit gestellt.
Bitte lest euch die Release Notes des jeweiligen Updates durch. Dort sind detaillierte Informationen zu den gemachten Fixes enthalten. Die aktuellste Drupal Core Version könnt ihr euch auf Drupal.org herunter laden.
Tipp: Drupal Update vom Profi
Ihr wisst ja selbst wie wichtig es ist ein Sicherheits-Update schnell einzuspielen. Und wir wissen, dass nur wenige Unternehmen, die Drupal einsetzen die Zeit haben ständig nach Updates Ausschau zu halten. Da es jedoch wichtig ist die Plattform mit der man arbeitet und Geld verdient immer Up-to-date zu halten bieten wir einen Update-Service für unsere Kunden (und solche die es werden wollen an). Dann gibt man Angreifern erst gar nicht die Möglichkeit Sicherheitslücken der Drupal-Systeme auszunutzen.
Denkt drüber nach. Und wenn ihr eure Drupal-Instanz von uns pflegen lassen wollt, dann gebt uns Bescheid. Alternativ könnt ihr aber auch unseren Server Monitoring Dienst nutzen. Der ist unter anderem auch für Drupal-Systeme ausgelegt und informiert automatisch per Mail über anstehende Updates. In unserem Drush-Bereich erfahrt ihr warum eine monatliche Wartung Sinn macht.