{"id":148,"date":"2018-03-29T06:00:20","date_gmt":"2018-03-29T04:00:20","guid":{"rendered":"https:\/\/development-by.schwarzer.de\/blog\/?p=148"},"modified":"2020-09-21T12:07:31","modified_gmt":"2020-09-21T10:07:31","slug":"cve-2018-7600-remote-code-execution-rce-drupal","status":"publish","type":"post","link":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/","title":{"rendered":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal !"},"content":{"rendered":"

“CVE-2018-7600”<\/strong>: Need for speed ist angesagt: innerhalb weniger Stunden bis Tage k\u00f6nnte ein Exploit entwickelt werden, der \u00fcber eine Million betroffene Drupal-Webseiten angreift – und hackt! Ein neues Scheunentor “CVE-2018-7600” wurde in Drupal entdeckt und Eile ist geboten, es zu schlie\u00dfen, bevor \u00dcberraschungen auftreten. Alle Drupal Versionen 7.X und 8.X und die alte Version 6 sind betroffen.
\n<\/p>\n

CVE-2018-7600 hei\u00dft das Scheunentor<\/h2>\n

Die extrem kritische L\u00fccke namens CVE-2018-7600<\/strong> wurde von Jasper Mattson<\/strong> entdeckt und macht Drupal-Websites hochverletzlich f\u00fcr Angriffe von Hackern. Angreifer k\u00f6nnen auf der Website Code ausf\u00fchren – ohne sich vorher authentisieren zu m\u00fcssen. Was das hei\u00dft, kann man sich sicher vorstellen.<\/p>\n

Bei Bugzilla liest man noch den Begriff “Unsanitized”<\/strong> zum Thema CVE-2018-7600, doch das darf dem Admin nicht ausreichen. Welche Bedeutung der Sicherheitsl\u00fccke beigemessen wird, erkennt man daran, dass hierf\u00fcr auch f\u00fcr bereits nicht mehr unterst\u00fctzte Versionen ein Update bereitgestellt werden soll.<\/p>\n

Patch \/ Sicherheitsupdate f\u00fcr CVE-2018-7600<\/h2>\n

Drupal stellte bereits ein Sicherheitsupdate<\/a> f\u00fcr diese hochkritische Sicherheitsl\u00fccke bereit. Technische Details gibt es nicht, doch er\u00f6ffnet man, dass Angreifer die Ausf\u00fchrung von Code aus der Ferne (Remote Code Execution<\/strong>, RCE<\/strong>) veranlassen k\u00f6nnen. Das Drupal-Team warnt vor Angreifern, die innerhalb Stunden oder Tagen ganz gezielt Drupal-Webseiten angreifen k\u00f6nnten.<\/p>\n

CVE-2018-7600 betrifft Drupal Version 7.x, 8.x und 6<\/h2>\n

Der Bug steckt offenbar schon seit langem unerkannt im Code. Die Version 6 ist die erste, welche mit CVE-2018-7600 per RCE angegriffen werden k\u00f6nnte. Alle Versionen 7.x und 8.x sind ebenfalls davon betroffen. Wer Webseiten mit diesen Versionen betreibt, sollte schleunigst auf die Versionen Drupal 7.58<\/strong> bzw. Drupal 8.5.1<\/strong> switchen bzw. patchen. Wer nur den Quick-Patch einspielt ist eventuell nur kurzfristig und vermeintlich gesch\u00fctzt. <\/p>\n

Die Drupal Organisation wird auch die Versionen 8.3.x<\/strong> und 8.4.x<\/strong> mit einem Patch versehen. Dies ist erstaunlich, weil diese beiden Versionen eigentlich gar nicht mehr unterst\u00fctzt werden.<\/p>\n

Quick-Check<\/h2>\n

Wer seine Webseite auf die L\u00fccke hin pr\u00fcfen will, der kann gem\u00e4\u00df den FAQ von Drupal das Werkzeug The Security Review<\/strong> einsetzen. Das Werkzeug The Security Review checkt die Konfiguration der Drupal-Webseite. Eine weitere Empfehlung von Drupal ist eine Zwei-Faktor-Authentifizierung<\/strong>.<\/p>\n

Auf unterst\u00fctzte Version von Drupal wechseln!<\/h2>\n

Wer sein Update auf eine unterst\u00fctzte Drupal-Version vor sich hergeschoben hat, der sollte das Vers\u00e4umte nun nachholen. Nur eine von Drupal unterst\u00fctzte Version des Drupal-CMS\/Content Management Systems wird hier auf Dauer zu mehr Sicherheit verhelfen k\u00f6nnen.<\/p>\n

Jasper Mattson: der Security-Hero bei Drupal<\/h2>\n

Entdeckt wurde der Bug von Jasper Mattson. Ein Team von Entwicklern hat dann schnell an der Beseitigung gearbeitet: neben Jasper Mattsson waren es aus dem Drupal Security Team Samuel Mortenson, David Rothstein, Jess, Michael Hess, Lee Rowlands, Peter Wolanin, Alex Pott, David Snopek, Pere Orga, Neil Drumm, Cash Williams und Daniel Wehner und Tim Plunkett.<\/p>\n

\n

Bildnachweis: © shutterstock – Phonix_a Pk.sarote<\/p>\n","protected":false},"excerpt":{"rendered":"

“CVE-2018-7600”: Need for speed ist angesagt: innerhalb weniger Stunden bis Tage k\u00f6nnte ein Exploit entwickelt werden, der \u00fcber eine Million […]<\/p>\n","protected":false},"author":2,"featured_media":149,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":[],"categories":[1],"tags":[],"features_image":"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg","rk_cat":null,"rk_date":"29.03.2018","yoast_head":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal ! - development-by.schwarzer.de<\/title>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/\" \/>\n<meta property=\"og:locale\" content=\"de_DE\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"CVE-2018-7600: Remote Code Execution, RCE bei Drupal ! - development-by.schwarzer.de\" \/>\n<meta property=\"og:description\" content=\"“CVE-2018-7600”: Need for speed ist angesagt: innerhalb weniger Stunden bis Tage k\u00f6nnte ein Exploit entwickelt werden, der \u00fcber eine Million […]\" \/>\n<meta property=\"og:url\" content=\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/\" \/>\n<meta property=\"og:site_name\" content=\"development-by.schwarzer.de\" \/>\n<meta property=\"article:published_time\" content=\"2018-03-29T04:00:20+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2020-09-21T10:07:31+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"700\" \/>\n\t<meta property=\"og:image:height\" content=\"335\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:label1\" content=\"Verfasst von\" \/>\n\t<meta name=\"twitter:data1\" content=\"Hans-J\u00fcrgen Schwarzer\" \/>\n\t<meta name=\"twitter:label2\" content=\"Gesch\u00e4tzte Lesezeit\" \/>\n\t<meta name=\"twitter:data2\" content=\"2 Minuten\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"WebSite\",\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/#website\",\"url\":\"https:\/\/development-by.schwarzer.de\/blog\/\",\"name\":\"development-by.schwarzer.de\",\"description\":\"\",\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/development-by.schwarzer.de\/blog\/?s={search_term_string}\"},\"query-input\":\"required name=search_term_string\"}],\"inLanguage\":\"de-DE\"},{\"@type\":\"ImageObject\",\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#primaryimage\",\"inLanguage\":\"de-DE\",\"url\":\"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg\",\"contentUrl\":\"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg\",\"width\":700,\"height\":335,\"caption\":\"CVE-2018-7600: Remote Code Execution, RCE bei Drupal !\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#webpage\",\"url\":\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/\",\"name\":\"CVE-2018-7600: Remote Code Execution, RCE bei Drupal ! - development-by.schwarzer.de\",\"isPartOf\":{\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#primaryimage\"},\"datePublished\":\"2018-03-29T04:00:20+00:00\",\"dateModified\":\"2020-09-21T10:07:31+00:00\",\"author\":{\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/#\/schema\/person\/31bc0011f4b960a9aa559e3f04da4a06\"},\"breadcrumb\":{\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#breadcrumb\"},\"inLanguage\":\"de-DE\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/\"]}]},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Startseite\",\"item\":\"https:\/\/development-by.schwarzer.de\/blog\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"CVE-2018-7600: Remote Code Execution, RCE bei Drupal !\"}]},{\"@type\":\"Person\",\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/#\/schema\/person\/31bc0011f4b960a9aa559e3f04da4a06\",\"name\":\"Hans-J\u00fcrgen Schwarzer\",\"image\":{\"@type\":\"ImageObject\",\"@id\":\"https:\/\/development-by.schwarzer.de\/blog\/#personlogo\",\"inLanguage\":\"de-DE\",\"url\":\"https:\/\/secure.gravatar.com\/avatar\/2e9a54aaac87c32742c669aa0d5556c1?s=96&d=mm&r=g\",\"contentUrl\":\"https:\/\/secure.gravatar.com\/avatar\/2e9a54aaac87c32742c669aa0d5556c1?s=96&d=mm&r=g\",\"caption\":\"Hans-J\u00fcrgen Schwarzer\"},\"description\":\"Hans-J\u00fcrgen Schwarzer leitet die Digital-Agentur schwarzer.de software + internet gmbh. Als Unternehmer und Verleger in Personalunion wie auch als leidenschaftlicher Blogger geh\u00f6rt er zu den Hauptautoren verschiedener Online-Magazine. Innerhalb seiner breiten Palette an Themen liegen dem Mainzer Lokalpatrioten dabei vermeintlich \u201eschr\u00e4ge\u201c Ideen und technische Novit\u00e4ten besonders am Herzen - Nerdstuff, wie es heute hei\u00dft.\",\"sameAs\":[\"http:\/\/www.schwarzer.de\"],\"url\":\"#\"}]}<\/script>","yoast_head_json":{"title":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal ! - development-by.schwarzer.de","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/","og_locale":"de_DE","og_type":"article","og_title":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal ! - development-by.schwarzer.de","og_description":"“CVE-2018-7600”: Need for speed ist angesagt: innerhalb weniger Stunden bis Tage k\u00f6nnte ein Exploit entwickelt werden, der \u00fcber eine Million […]","og_url":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/","og_site_name":"development-by.schwarzer.de","article_published_time":"2018-03-29T04:00:20+00:00","article_modified_time":"2020-09-21T10:07:31+00:00","og_image":[{"width":700,"height":335,"url":"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg","type":"image\/jpeg"}],"twitter_card":"summary_large_image","twitter_misc":{"Verfasst von":"Hans-J\u00fcrgen Schwarzer","Gesch\u00e4tzte Lesezeit":"2 Minuten"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"WebSite","@id":"https:\/\/development-by.schwarzer.de\/blog\/#website","url":"https:\/\/development-by.schwarzer.de\/blog\/","name":"development-by.schwarzer.de","description":"","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/development-by.schwarzer.de\/blog\/?s={search_term_string}"},"query-input":"required name=search_term_string"}],"inLanguage":"de-DE"},{"@type":"ImageObject","@id":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#primaryimage","inLanguage":"de-DE","url":"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg","contentUrl":"https:\/\/development-by.schwarzer.de\/blog\/wp-content\/uploads\/2018\/03\/cve-2018-7600-remote-code-execution-rce-drupal.jpg","width":700,"height":335,"caption":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal !"},{"@type":"WebPage","@id":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#webpage","url":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/","name":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal ! - development-by.schwarzer.de","isPartOf":{"@id":"https:\/\/development-by.schwarzer.de\/blog\/#website"},"primaryImageOfPage":{"@id":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#primaryimage"},"datePublished":"2018-03-29T04:00:20+00:00","dateModified":"2020-09-21T10:07:31+00:00","author":{"@id":"https:\/\/development-by.schwarzer.de\/blog\/#\/schema\/person\/31bc0011f4b960a9aa559e3f04da4a06"},"breadcrumb":{"@id":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#breadcrumb"},"inLanguage":"de-DE","potentialAction":[{"@type":"ReadAction","target":["https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/"]}]},{"@type":"BreadcrumbList","@id":"https:\/\/development-by.schwarzer.de\/blog\/cve-2018-7600-remote-code-execution-rce-drupal\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Startseite","item":"https:\/\/development-by.schwarzer.de\/blog\/"},{"@type":"ListItem","position":2,"name":"CVE-2018-7600: Remote Code Execution, RCE bei Drupal !"}]},{"@type":"Person","@id":"https:\/\/development-by.schwarzer.de\/blog\/#\/schema\/person\/31bc0011f4b960a9aa559e3f04da4a06","name":"Hans-J\u00fcrgen Schwarzer","image":{"@type":"ImageObject","@id":"https:\/\/development-by.schwarzer.de\/blog\/#personlogo","inLanguage":"de-DE","url":"https:\/\/secure.gravatar.com\/avatar\/2e9a54aaac87c32742c669aa0d5556c1?s=96&d=mm&r=g","contentUrl":"https:\/\/secure.gravatar.com\/avatar\/2e9a54aaac87c32742c669aa0d5556c1?s=96&d=mm&r=g","caption":"Hans-J\u00fcrgen Schwarzer"},"description":"Hans-J\u00fcrgen Schwarzer leitet die Digital-Agentur schwarzer.de software + internet gmbh. Als Unternehmer und Verleger in Personalunion wie auch als leidenschaftlicher Blogger geh\u00f6rt er zu den Hauptautoren verschiedener Online-Magazine. Innerhalb seiner breiten Palette an Themen liegen dem Mainzer Lokalpatrioten dabei vermeintlich \u201eschr\u00e4ge\u201c Ideen und technische Novit\u00e4ten besonders am Herzen - Nerdstuff, wie es heute hei\u00dft.","sameAs":["http:\/\/www.schwarzer.de"],"url":"#"}]}},"_links":{"self":[{"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/posts\/148"}],"collection":[{"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/comments?post=148"}],"version-history":[{"count":9,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/posts\/148\/revisions"}],"predecessor-version":[{"id":819,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/posts\/148\/revisions\/819"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/media\/149"}],"wp:attachment":[{"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/media?parent=148"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/categories?post=148"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/development-by.schwarzer.de\/blog\/wp-json\/wp\/v2\/tags?post=148"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}