Kritische Sicherheitslücke in Drupal: Bei cyon bereits geschlossen

Für das CMS Drupal ist vor ein paar Tagen eine extrem kritische Sicherheitslücke angekündigt (deutsche Quelle bei heise) worden. Gestern Abend wurden Details zur Lücke veröffentlicht und entsprechende Updates sowie Patches bereitgestellt.

cyon-Kunden können bereits aufatmen, wir haben die von der Community getaufte Lücke «Drupalgeddon2» in der vergangenen Nacht flächendeckend geschlossen. In Ihrem my.cyon-Konto unter «Sicherheit» -> «Sicherheitslücken & Malware» können Sie den Vorgang nachvollziehen, falls Sie eine Drupal-Installation auf Ihrem Webhosting betreiben:

my.cyon: Informationen zur Sicherheitslücke.

Sicherheitsrisiko «hochkritisch»

Die Sicherheitslücke Drupalgeddon2 macht eine sogenannte «Remote Code Execution» möglich. Angreifer können damit durch das Absetzen einer bestimmten Anfrage an die Drupal-Website beliebigen Code ausführen. Die Sicherheitslücke wurde vom Drupal-Security-Team deshalb als «hochkritisch» eingestuft. Betreiber von Drupal-Websites, deren Installationen nicht automatisch gegen die Sicherheitslücke gepatcht worden sind, sollten darum unverzüglich den von den Drupal-Entwicklern bereitgestellten Patch bzw. die gleichzeitig erschienene neue Version einspielen. Das Security-Team geht davon aus, dass die Sicherheitslücke in kürzester Zeit ausgenutzt wird.