Kritische Sicherheitslücke in Drupal

16. Oktober 2014

Beschreibung

In der verbreiteten CMS-Software Drupal ist eine kritische Sicherheitslücke (SQL Injection) entdeckt worden.

Durch Ausnutzung dieses Fehler können SQL-Queries auf betroffenen Systemen ausgeführt werden, deren Inhalt durch den Angreifer bestimmt wird. In bestimmten Situationen ist dies auch für anonyme Benutzer über das Netzwerk (Internet) möglich, und kann zu Remote Code Execution (mit den Rechten des Webserver-Users) führen.

CVEs: CVE-2014-3704

Auswirkungen

Drupal hat eine Funktion, mit der durch Benutzer eingegebene Daten geprüft werden, bevor sie vom System weiter verarbeitet werden. Da diese Funktion einen Fehler enthält, ist es für einen Angreifer möglich, Daten in einer Weise zu übergeben, die dann zu vom Angreifer gesteuerten SQL-Queries und in weiterer Folge zur Ausführung von PHP-Code des Angreifers führen können.
Dadurch kann in weiterer Folge die Integrität des gesamten Systems gefährdet sein.

Da eine Ausnutzung durch anonyme (unauthentisiert/unauthorisiert) Benutzer aus dem Internet möglich ist, ist davon auszugehen, dass bald entsprechende Angriffsversuche in automatisierter Weise gegen eine grosse Anzahl von Drupal-Installationen durchgeführt werden. Entsprechender Proof-of-Concept - Code ist bereits im Umlauf.

Betroffene Systeme

Alle Systeme, auf denen Drupal Core in Versionen kleiner als 7.32 installiert ist, und die aus dem Internet erreichbar sind - dies wird auf die meisten Installationen zutreffen.

Abhilfe

Installation entsprechend upgedateter Versionen der Distributionen, manuelles Upgrade auf Version 7.32 oder neuer, oder Installation des im Advisory angeführten Patches.

Sollte das nicht einfach möglich sein, zB wegen Kompatibilitäts-Problemen mit Erweiterungen, so kann eventuell ein Intrusion Prevention System (kommerziell, oder auch Open Source wie Apache mit mod_security) - mit entsprechenden Regeln - als Zwischenlösung dienen.

Hinweis

Generell empfiehlt CERT.at, wo möglich die "automatisches Update"-Features von Software zu nutzen, parallel Firewall-Software aktiv und den Virenschutz aktuell zu halten.
Informationsquelle(n):

Drupal Security Advisory SA-CORE-2014-005 (englisch)
https://www.drupal.org/SA-CORE-2014-005
Drupal FAQ zu SA-CORE-2014-005 (englisch)
https://www.drupal.org/node/2357241