ZDNet Artikel: Alle Drupal-Versionen erlauben Datendiebstahl und Codeausführung?
Eingetragen von howdytom (176)am 08.01.2016 - 13:52 Uhr in
Hallo zusammen,
soeben bin ich auf ZDNet Deutschland auf den Beitrag
Lücke: Alle Drupal-Versionen erlauben Datendiebstahl und Codeausführung gestoßen, indem Arnaboldi auf massive Sicherheitslücken hinweist. Ich beobachte regelmäßig den Drupal Security Advisories und andere Quellen. Über das oben genannte Thema konnte ich bisher noch nichts finden.
Ist das ein übertriebener auf Klickraten ausgerichteter Artikel oder bekannte Lücke? Wer weiß mehr?
- Anmelden oder Registrieren um Kommentare zu schreiben
Hi, hmm ich sehe das nicht so
am 08.01.2016 - 14:46 Uhr
Hi,
hmm ich sehe das nicht so kritisch.
Man in the Middle Attacken würden die meisten
unverschlüsselten Systeme aushebeln.
Dazu muss man normalerweise im gleichen Netz sein.
D.H: Hast Du einen Man in the Middle ist Drupal eher das kleinere Problem.
MfG
Robert
Ich aktiviere den Update
am 08.01.2016 - 16:00 Uhr
Ich aktiviere den Update Prozess händisch, nur dann wenn er wirklich ausgeführt werden soll, ansonsten ist das Modul deaktiviert.
Das sich dann in den 2 Minuten bei Updates ein Hacker in meinem Netz tummelt ist ziemlich unwahrscheinlich und mit sinnvoller täglicher Backup Planung kann man auch viel Schaden vermeiden.
Es besteht ja auch noch die Möglichkeit die Module selbst per FTP aufzuspielen, so kann man auf autom. Updates ganz verzichten.
Für wichtig halte ich das Vorgehen bei Drupal "das keine Einwände gegen Veröffentlichung solcher Berichte bestehen". Es wird nichts verschleiert und ich verlasse mich darauf das
irgendein Drupalgott auch diese Lücke beheben wird. Ich denke das wird ein konstantes Dauerproblem bleiben, nicht nur bei Drupal... fast täglich kann man bei grossen Firmen von Schwachstellen lesen und wenn eine behoben ist, wartet schon die nächste auf ihren Einsatz.
Danke für die Info zum Artikel.
Grüße Jenna
Danke für die Rückmeldungen.
am 08.01.2016 - 16:16 Uhr
Danke für die Rückmeldungen. Ich sehe das ähnlich. Der Update Manager ist bei mir in allen Live Seiten deaktiviert. In einem nicht öffentlichen Testsystem läuft die gespiegelte Seite mit aktiven Update Manager.
Die Updates spiele ich per Drush ein. Der Vorteil. Neue Updates können mit Drush, auch ohne aktivem Update Modul geprüft und eingespielt werden.
Viel gefährlicher sind Trojaner am PC des Administrators
am 09.01.2016 - 00:43 Uhr
Viele der wirklich massiven Angriffe kommen deshalb vor, weil der Administrator mit einem PC schlampig umgeganden ist.
Werden die Zugangsdaten über dem Admin-PC ausgehorcht, kann Drupal und der Server dies nicht erkennen.
Deshalb ist der Schutz des Admin-PCs sehr sehr wichtig.
Vor allem auch der Zugang zur Konsole oder Steuerungsoberfläche des Webservers und des Datenbankservers.
Dass man das Einbinden von php-Code oder JavaScript über den Editor unterbindet, sollte eine Selbstverständlichkeit sein.
Das Drupal Security Team hat
am 09.01.2016 - 17:58 Uhr
Das Drupal Security Team hat zusammenfassend weitere Informationen zum genannten Thema veröffentlicht.
https://groups.drupal.org/node/506128