CVE-2018-7600: Remote Code Execution, RCE bei Drupal !

“CVE-2018-7600”: Need for speed ist angesagt: innerhalb weniger Stunden bis Tage könnte ein Exploit entwickelt werden, der über eine Million betroffene Drupal-Webseiten angreift – und hackt! Ein neues Scheunentor “CVE-2018-7600” wurde in Drupal entdeckt und Eile ist geboten, es zu schließen, bevor Überraschungen auftreten. Alle Drupal Versionen 7.X und 8.X und die alte Version 6 sind betroffen.

CVE-2018-7600 heißt das Scheunentor

Die extrem kritische Lücke namens CVE-2018-7600 wurde von Jasper Mattson entdeckt und macht Drupal-Websites hochverletzlich für Angriffe von Hackern. Angreifer können auf der Website Code ausführen – ohne sich vorher authentisieren zu müssen. Was das heißt, kann man sich sicher vorstellen.

Bei Bugzilla liest man noch den Begriff “Unsanitized” zum Thema CVE-2018-7600, doch das darf dem Admin nicht ausreichen. Welche Bedeutung der Sicherheitslücke beigemessen wird, erkennt man daran, dass hierfür auch für bereits nicht mehr unterstützte Versionen ein Update bereitgestellt werden soll.

Patch / Sicherheitsupdate für CVE-2018-7600

Drupal stellte bereits ein Sicherheitsupdate für diese hochkritische Sicherheitslücke bereit. Technische Details gibt es nicht, doch eröffnet man, dass Angreifer die Ausführung von Code aus der Ferne (Remote Code Execution, RCE) veranlassen können. Das Drupal-Team warnt vor Angreifern, die innerhalb Stunden oder Tagen ganz gezielt Drupal-Webseiten angreifen könnten.

CVE-2018-7600 betrifft Drupal Version 7.x, 8.x und 6

Der Bug steckt offenbar schon seit langem unerkannt im Code. Die Version 6 ist die erste, welche mit CVE-2018-7600 per RCE angegriffen werden könnte. Alle Versionen 7.x und 8.x sind ebenfalls davon betroffen. Wer Webseiten mit diesen Versionen betreibt, sollte schleunigst auf die Versionen Drupal 7.58 bzw. Drupal 8.5.1 switchen bzw. patchen. Wer nur den Quick-Patch einspielt ist eventuell nur kurzfristig und vermeintlich geschützt.

Die Drupal Organisation wird auch die Versionen 8.3.x und 8.4.x mit einem Patch versehen. Dies ist erstaunlich, weil diese beiden Versionen eigentlich gar nicht mehr unterstützt werden.

Quick-Check

Wer seine Webseite auf die Lücke hin prüfen will, der kann gemäß den FAQ von Drupal das Werkzeug The Security Review einsetzen. Das Werkzeug The Security Review checkt die Konfiguration der Drupal-Webseite. Eine weitere Empfehlung von Drupal ist eine Zwei-Faktor-Authentifizierung.

Auf unterstützte Version von Drupal wechseln!

Wer sein Update auf eine unterstützte Drupal-Version vor sich hergeschoben hat, der sollte das Versäumte nun nachholen. Nur eine von Drupal unterstützte Version des Drupal-CMS/Content Management Systems wird hier auf Dauer zu mehr Sicherheit verhelfen können.

Jasper Mattson: der Security-Hero bei Drupal

Entdeckt wurde der Bug von Jasper Mattson. Ein Team von Entwicklern hat dann schnell an der Beseitigung gearbeitet: neben Jasper Mattsson waren es aus dem Drupal Security Team Samuel Mortenson, David Rothstein, Jess, Michael Hess, Lee Rowlands, Peter Wolanin, Alex Pott, David Snopek, Pere Orga, Neil Drumm, Cash Williams und Daniel Wehner und Tim Plunkett.


Bildnachweis: © shutterstock – Phonix_a Pk.sarote