Achtung: hochkritische Sicherheitsupdates kommen heute
Eingetragen von marco.b (643) am 13.07.2016 - 11:48 Uhr in
Drupal contrib - Highly Critical - Remote code execution PSA-2016-001 sagt, heute (Wednesday July 13th 2016 16:00 UTC) werden hochkritsche Sicherheitsupdates für contrib Module veröffentlicht.
Security risk: 22/25 ist sehr hoch und es wird empfohlen, sich heute abend die Zeit zu reservieren, sie updates sofort bei allen drupal sites einzuspielen.
- Anmelden oder Registrieren um Kommentare zu schreiben
Wichtig: "Coder"-Modul entfernen, auch wenn nicht eingeschaltet
am 13.07.2016 - 20:27 Uhr
Leider ist es nicht mit Updates heute getan.
Eine der heutigen Security-Meldungen weist darauf hin, daß das Coder-Modul, sollte es im Drupal-System vergessen worden sein, böswillig genutzt werden kann. Das Problem besteht or allem auch für nicht angemeldet benutzer. und ganz wichtig: Dafür muss das Modul nicht aktiviert sein!!!
Siehe: Coder - Highly Critical - Remote Code Execution - SA-CONTRIB-2016-039
Unter den anderen 2 bis zum jetzigen Zeitpunkt erschienenen Modul-Updates ist ein weiteres, das auch von Gästen ausgenutzt werden könnte:
RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040
Das dritte im Bunde ist unter Umständen auch sehr problematisch, je nach erteilen Rechten im System:
Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038
Da böswillige Menschen es schaffen auch in sehr kurzer Zeit, das heißt innerhalb von Stunden, aus solchen Sicherheitslücken massive automatische Angriffe auf zig tausende Drupal-Websites zu organisieren ist Eile geboten.
# DrupalCenter-Moderator # Mitglied im Drupal e.V. # https://www.drupal.org/u/c_logemann
# CTO der Nodegard GmbH: CMS Security & Availability Management
Uff
am 14.07.2016 - 07:15 Uhr
alle drei nicht im Einsatz
Grüße
Ronald
Danke für die
am 14.07.2016 - 13:20 Uhr
Danke für die Zusammenfassung, Carsten! Top!