Kürzlich wurde ein neues Sicherheitsupdate für eure Drupal 7 und Drupal 8 Installationen veröffentlicht. Das Sicherheitsteam von Drupal.org stuft das Risiko als “Moderately critical” ein.
Folgende Drupal Versionen sind betroffen und sollten bald aktualisiert werden:
- Drupal core 7.x Versionen (Update durch Version 7.52)
- Drupal core 8.x Versionen (Update durch Version 8.2.3)
Gefunden wurden folgende Sicherheitslücken:
- Inconsistent name for term access query (Less critical - Drupal 7 and Drupal 8)
- Incorrect cache context on password reset page (Less critical - Drupal 8)
- Confirmation forms allow external URLs to be injected (Moderately critical - Drupal 7)
- Denial of service via transliterate mechanism (Moderately critical - Drupal 8)
So funktioniert das Update
Im Administrationsbereich seiner Drupalinstallation unter Berichte / Verfügbare Aktualisierungen bekommt man einen Hinweis auf das Update angezeigt. Über einen Klick auf Herunterladen wird das jeweilige Drupal Sicherheitsupdate zum Download bereit gestellt.
Bitte lest euch die Release Notes des jeweiligen Updates durch. Dort sind detaillierte Informationen zu den gemachten Fixes enthalten. Die aktuellste Drupal Core Version könnt ihr euch auf Drupal.org herunter laden.
Tipp: Drupal Update vom Profi
Ihr wisst ja selbst wie wichtig es ist ein Sicherheits-Update schnell einzuspielen. Und wir wissen, dass nur wenige Unternehmen, die Drupal einsetzen die Zeit haben ständig nach Updates Ausschau zu halten. Da es jedoch wichtig ist die Plattform mit der man arbeitet und Geld verdient immer Up-to-date zu halten bieten wir einen Update-Service für unsere Kunden (und solche die es werden wollen an). Dann gibt man Angreifern erst gar nicht die Möglichkeit Sicherheitslücken der Drupal-Systeme auszunutzen.
Denkt drüber nach. Und wenn ihr eure Drupal-Instanz von uns pflegen lassen wollt, dann gebt uns Bescheid. Alternativ könnt ihr aber auch unseren Server Monitoring Dienst nutzen. Der ist unter anderem auch für Drupal-Systeme ausgelegt und informiert automatisch per Mail über anstehende Updates. Auf unserer Drush Seite erfahrt ihr warum eine monatliche Wartung Sinn macht.