Sie sind hier:
 

Drupal: Sicherheitslücke im Weißen Haus
Sicherheitslücke im CMS Drupal setzt Passwort zurück

von Mirko Schubert Uhr veröffentlicht

Diesen Artikel weiterempfehlen
SHARES

Der Entwickler Justin Klein Keane entdeckte nach einem Hinweis eine schwere Sicherheitslücke in einem häufig genutzten Plugin des Content Management Systems Drupal. Etwa 10.000 Webseiten, darunter auch die Webseite des Weißen Hauses, sind gefährdet.

Auf einen Hinweis entdeckte der Entwickler Justin Klein Keane kürzlich eine schwere Sicherheitslücke in einem Plugin des Content Management Systems Drupal. Die Lücke erlaubt es Angreifern, über einen Schadcode das Administrator-Passwort des Systems zurückzusetzen. Etwa 10.000 Webseiten, darunter auch die Webseite des Weißen Hauses, sind betroffen.

Drupal ist ein sehr flexibles Content Management System, das oft für mittlere bis große Webseiten eingesetzt wird.

Drupal ist ein sehr flexibles Content Management System, das von Web-Entwicklern gern für mittlere bis große Webseiten eingesetzt wird. Vom einfachen Blog bis zum großen sozialen Netzwerk findet das CMS viele Anwendungsmöglichkeiten. So verwenden Institutionen wie das Weiße Haus, Ubuntu, Amnesty International oder MTV Drupal als Basis für ihre Webseite.

In dem häufig eingesetzten Modul "Context" wurde nun eine schwere Sicherheitslücke entdeckt. Angreifer können über die XSS-Schnittstelle Schadcode in das Login-Formular einschleusen, um das Administrator-Passwort zurückzusetzen und somit unbemerkt in das System einzudringen. Allerdings muss der Angreifer bereits über einige administrative Rechte auf dem Webserver verfügen.

WhiteHouse.gov und weitere 10.000 Webseiten gefährdet

Das Weiße Haus veröffentlichte kürzlich ein Plugin, das das betroffene Context-Modul benötigt. Die Administratoren installierten das Plugin unter anderem auf den Webseiten des US-Präsidenten Barack Obama und veröffentlichten den Quellcode Ende April anlässlich der Entwickler-Konferenz "DrupalCon" in San Francisco. Dies wirft nun Fragen auf, in welchem Umfang die Sicherheitsexperten des Weißen Hauses die genutzten Plugins und Module überprüfen.

Die Sicherheitslücke wurde dem Entwickler des Moduls inzwischen gemeldet und wartet nun darauf, mit der nächsten Version behoben zu werden. Sicherheitsexperte Greg James Knaddison veröffentlichte für die Übergangszeit auf seiner Webseite "Cracking Drupal" eine Anleitung, wie Angriffe über das Context-Modul verhindert werden können. Ob das Weiße Haus ebenfalls an einer eigenen Lösung gearbeitet wird, ist bislang nicht bekannt.

YnUZ敟ޱ\\${7?G;rB#cFρ^-M&uҦBz(O:ژ*t^{M"6WA\+<.^u^ht"Xrb=>&ɻJls)m|Ȋ)=1ɱs5)C̞15PV-/Q/.H0F$V/w硡)2eeQ^$F;YOdZϼ&-0|2W;_b>N{< _1dn/zIӽؽ}(S$'_&/OH晲˙vq y~W9}r)džr'Kcw7.g&mdۈlrcp$uCNd%-~K]H%e M]bՕyoAZp8 "ͫIuf;IIm;c`2,ݔ= oi텙I/ !=^ Kx. hu>,ӳ:ś|,sQg!f +<=yxe,GB4ps'0S5sgUu`꦳[ǐi\Oت:K嵶:pe$NiKU8qi]12D b<DEwZAMH¶[_7{z[RLEQ|7rޅy҄OFq[ ǐ].^g>f7ŗ]UOu9^SYۦ0Y`[VqVp|Kv%~6UR=GݭwƢ/fyohñ_rJ94+}o?o._quT|ߌ\sCbdԴ8>ߩ~/(_2ݓp>eMP>v+5ͳsBA{~= 5U 'k`]>_ ')\d?>r[y|3*cN%SFBW}.y>kz9j$8弳jbh@P؁',^Ooߐ$TwW=yjӓH/Tk_ɿOg0Ak5j@̊-hD.6.|n^I}kM12\խ1E2;JЪQ- :_#?vEeJ?<LSب Eg2} hD#F +2NϷLj鼶]XτN5x6!`rt/hX'L{[9c{P*$p/db̓dy}?gj~M~3l%"UMib;bR#;ڪWE3RGuLـ7A+P%:cÁjl_d;J#)}38bR}kԁ|vQ&c[YS83F29cIq!b]d֝΍% ?ی+5p(:FP+[9.h Qw`g 5楈;[Q=؎r7Eg[BȥS`kW*8EBLBs A8p$I \wt>$BY1G&qp=Q&6 $NٓP9x//C-OiP bstrӸqç3<TďS!#Clـ>bSmEvt!酆z@ysyD.;_BN3]>qKGdE;ɝ9]J@xd;#fܐ OW(KPϷ@Yʲ$ #e'Bf6YlzژzOHv'O;{v v21[3~V?7g^zUUgYz^L.+2o2U?7*KlG/ѾtAr7psCJ*e-LnP(eϱuU?Ɔ@8:BK)^m!>ب7azʭ^OLSe?Ӆ_Yq(Yݝ`TԖs" Q[W/c:?5cgWeYkL 6vv-qȹ*Tz-/84֤/f wo@Ӟ +cBKNhbr8ngVHgc򭩴㋴Bkhqy^-g>VcmRpLwQt ;<^B Ik@ggo2%革Z qMlTIFP AC:i0DnEP(*._V7u܂ܚnڂ̩m `@. gy]}"~tO(A7iA ֔ï~]{)K(QK3Lv?%),ؗzۃMt & ''P~7=(g |$A!͒Ab[:KqjWoOzSr^كbחGA@l!u=bx`~aS<eRit =ӝ}![1 \p@!_lC6mI3t.ʁ=e|CZ+ٷ9~B?@XQmI\L)=љ<;#i};Xk}7S>ιOț s{ZXXQ̻ׯf5}-V7i&eMyŢ!h|"c;U|j:@,rmxU`yUkẍ =:ȴHZڬLxKxx_S YS8˼鮨ݳ(eG+@rS"Yv 4Y^O"z>sa2bu.~95+OG|1?tK}~Et5+ȤkG$Z]ϙ@*XMd}dCPsМwoǠHS 8d - ]>9ow>'O]?D(~{++64\ (:noybvg˥<;2Pp,ysx9%/x6{*S}Pۡpt_CAJu(dgOW{au9J`aw'է_TmBu`}GnEz /1ز5Zkz|[";!S}G 3eKls]bR{i.,_-GJ+6p }kAY߯m_RHKDϣ+%G? kBҤacb>@aCIvORahO1RiK=KA}V2gOt$ xWzUkiɝ6yA4v!&[K!q~lq^@,Phh/Xwf]j]{5~QT"%@'OSl-?yO+4G]m.sa.}Hx~[{~<尭s {g;5 o=Wܞ afCٽ\.D09>Y,LJjQIRV v`3ZnoiPg5up|~!wC섫[_E oc/6el@qW'l,Gt'+6RYyإ QBC)ʎg t&o =VX7p nff٭EӇv!Ͷnm Vںҥ܍Xٓj,A 4Ϣ&ܠnQ؁Fy^ m҉ʡp32t 맟eo[ @l/[t"{? l6
Kommentare zu diesem Artikel

Der Entwickler Justin Klein Keane entdeckte nach einem Hinweis eine schwere Sicherheitslücke in einem häufig genutzten Plugin des Content Management Systems Drupal. Etwa 10.000 Webseiten, darunter auch die Webseite des Weißen Hauses, sind gefährdet.

Jetzt ist Ihre Meinung gefragt. Diskutieren Sie im Forum zu diesem Artikel.

Jetzt Diskutieren!
  • Gerhard Killesreiter schrieb Uhr
    AW: Drupal: Sicherheitslücke im Weißen Haus

    Diese 10000 Websites sind lediglich dann gefährdet wenn sie grob kaputtkonfiguriert wurden. Um die Schwachstelle auszunutzen braucht ein Nutzer die "administer blocks"-Erlaubnis. Nichts was man leichtfertig vergibt. Ferner taucht der Bug in einem als "release candidate" gekennzeichneten Tarball auf. Wer sowas produktiv verwendet sollte schon wissen was er tut. GK

DSL- & LTE-Speedtest

Testen Sie mit unserem Speedtest Ihre tatsächliche DSL- oder LTE-Geschwindigkeit. Test auch mit Smartphone und Tablet möglich.

Jetzt Testen!

Der große Android-Update-Fahrplan

Welche Android-Version ist für mein Smartphone oder Tablet-Computer aktuell? Der große Android-Update-Fahrplan bringt Licht ins Dickicht der Versionen.

Jetzt ansehen!

article
25757
Drupal: Sicherheitslücke im Weißen Haus
Drupal: Sicherheitslücke im Weißen Haus
Eine schwere Sicherheitslücke in einem Plugin des Content Management Systems Drupal wurde kürzlich von Entwickler Justin Klein Keane entdeckt. Die Lücke erlaubt es Angreifern, das Administrator-Passwort zurückzusetzen.
http://www.netzwelt.de/news/82699-drupal-sicherheitsluecke-weissen-haus.html
2010-05-11 01:08:00
http://img.netzwelt.de/dw120_dh90_sw0_sh0_sx0_sy0_sr4x3_nu0/article/2010/drupal-sehr-flexibles-content-management-system-oft-mittlere-grosse-webseiten-eingesetzt-445.jpg
News
Drupal: Sicherheitslücke im Weißen Haus