Achtung: hochkritische Sicherheitsupdates kommen heute

Eingetragen von marco.b (643) am 13.07.2016 - 10:48 Uhr in

Drupal

Drupal contrib - Highly Critical - Remote code execution PSA-2016-001 sagt, heute (Wednesday July 13th 2016 16:00 UTC) werden hochkritsche Sicherheitsupdates für contrib Module veröffentlicht.

Security risk: 22/25 ist sehr hoch und es wird empfohlen, sich heute abend die Zeit zu reservieren, sie updates sofort bei allen drupal sites einzuspielen.

Anmelden oder Registrieren um Kommentare zu schreiben

Wichtig: "Coder"-Modul entfernen, auch wenn nicht eingeschaltet

Eingetragen von C_Logemann (840)
am 13.07.2016 - 19:27 Uhr

Leider ist es nicht mit Updates heute getan.
Eine der heutigen Security-Meldungen weist darauf hin, daß das Coder-Modul, sollte es im Drupal-System vergessen worden sein, böswillig genutzt werden kann. Das Problem besteht or allem auch für nicht angemeldet benutzer. und ganz wichtig: Dafür muss das Modul nicht aktiviert sein!!!
Siehe: Coder - Highly Critical - Remote Code Execution - SA-CONTRIB-2016-039

Unter den anderen 2 bis zum jetzigen Zeitpunkt erschienenen Modul-Updates ist ein weiteres, das auch von Gästen ausgenutzt werden könnte:
RESTWS - Highly critical - Remote code execution - SA-CONTRIB-2016-040

Das dritte im Bunde ist unter Umständen auch sehr problematisch, je nach erteilen Rechten im System:
Webform Multiple File Upload - Critical - Remote Code Execution - SA-CONTRIB-2016-038

Da böswillige Menschen es schaffen auch in sehr kurzer Zeit, das heißt innerhalb von Stunden, aus solchen Sicherheitslücken massive automatische Angriffe auf zig tausende Drupal-Websites zu organisieren ist Eile geboten.

# DrupalCenter-Moderator # Mitglied im Drupal e.V. # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: CMS Security & Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen und Freiberufler