Auf dieser Seite: [ausblenden]
Läuft Ihre Website auf Drupal?? Wenn ja, in acht nehmen, Als Sicherheitsforscher entdeckten sie eine Sicherheitslücke im System, die sofort behoben werden muss. Die Verwundbarkeit, CVE-2020-13671 ist von entscheidender Bedeutung und kann bei erfolgreicher Nutzung zu Standortübernahmen führen. Wenn Ihre Website tatsächlich auf Drupal läuft, Sie sollten es auch auf Angriffsversuche überwachen, bei denen der Fehler ausgenutzt wird.
CVE-2020-13671 Kritisches Loch in Drupal-Standorten
Nach seiner offiziellen Beschreibung, Der Fehler liegt vor, weil der Drupal-Kern in seiner Standardversion bestimmte Dateinamen in hochgeladenen Dateien nicht korrekt bereinigt. Dieser anfällige Zustand kann dazu führen, dass Dateien mit einer falschen Erweiterung interpretiert werden und als falscher MIME-Typ dienen. Hacker könnten diese Dateien auch als PHP für bestimmte Hosting-Konfigurationen ausführen. Die Sicherheitsanfälligkeit CVE-2020-13671 betrifft Drupal Core 9.0 Versionen vor 9.0.8, 8.9 Versionen vor 8.9, 8.8 Versionen vor 8.8.11, und 7 Versionen vor 7.74.
Mit anderen Worten, Eine schädliche Datei kann auch wie oben beschrieben interpretiert werden. Glücklicherweise, Fixes sind bereits verfügbar, und Website-Administratoren sollten ihre Drupal-Konfigurationen so schnell wie möglich aktualisieren. Drupal hat nicht bestätigt, ob der Fehler in freier Wildbahn missbraucht wurde, Administratoren sollten jedoch zuvor hochgeladene Dateien auf schädliche Erweiterungen prüfen. Wenn Sie nicht wissen, wo Sie suchen sollen, Suchen Sie nach Dateien, die mehr als eine Erweiterung enthalten, wie Dateiname.php.txt oder Dateiname.html.gif, ohne Unterstrich (_) in der Erweiterung.
„Achten Sie besonders auf die folgenden Dateierweiterungen, Dies sollte als gefährlich angesehen werden, selbst wenn eine oder mehrere zusätzliche Erweiterungen folgen: phar, php, pl, py, cgi, asp, js, html, htm, phtml. Diese Liste ist nicht vollständig, Bewerten Sie daher die Sicherheitsbedenken für andere nicht gemungete Erweiterungen von Fall zu Fall,” Drupal sagte in seiner Beratung.
Mehr über Drupal
Drupal ist ein kostenloses Open-Source-CMS. Es ist das vierthäufigste Content-Management-System nach WordPress, Shopify, und Joomla. Angriffe auf von Drupal betriebene Websites sind in der Vergangenheit aufgetreten. Wenn Ihre Website auf diesem CMS ausgeführt wird, Beachten Sie, dass Drupal Version 7.x im November nächsten Jahres sein Ende erreicht. Möglicherweise möchten Sie mit der Planung Ihres Upgrades beginnen, bevor es zu spät ist.
Vor kurzem, Wir haben über einige Schwachstellen geschrieben, die gefährdete Millionen von WordPress-Sites. Sie sollten daran denken, alle installierten Plugins zu überprüfen, Widgets, und andere Apps, und stellen Sie sicher, dass sie auf den neuesten möglichen Versionen ausgeführt werden. Die Regel gilt für jedes Content-Management-System.