Sie sind hier:
 

Drupal: Sicherheitslücke im Weißen Haus Sicherheitslücke im CMS Drupal setzt Passwort zurück

SHARES

Der Entwickler Justin Klein Keane entdeckte nach einem Hinweis eine schwere Sicherheitslücke in einem häufig genutzten Plugin des Content Management Systems Drupal. Etwa 10.000 Webseiten, darunter auch die Webseite des Weißen Hauses, sind gefährdet.

Auf einen Hinweis entdeckte der Entwickler Justin Klein Keane kürzlich eine schwere Sicherheitslücke in einem Plugin des Content Management Systems Drupal. Die Lücke erlaubt es Angreifern, über einen Schadcode das Administrator-Passwort des Systems zurückzusetzen. Etwa 10.000 Webseiten, darunter auch die Webseite des Weißen Hauses, sind betroffen.

Drupal ist ein sehr flexibles Content Management System, das oft für mittlere bis große Webseiten eingesetzt wird.

Drupal ist ein sehr flexibles Content Management System, das von Web-Entwicklern gern für mittlere bis große Webseiten eingesetzt wird. Vom einfachen Blog bis zum großen sozialen Netzwerk findet das CMS viele Anwendungsmöglichkeiten. So verwenden Institutionen wie das Weiße Haus, Ubuntu, Amnesty International oder MTV Drupal als Basis für ihre Webseite.

In dem häufig eingesetzten Modul "Context" wurde nun eine schwere Sicherheitslücke entdeckt. Angreifer können über die XSS-Schnittstelle Schadcode in das Login-Formular einschleusen, um das Administrator-Passwort zurückzusetzen und somit unbemerkt in das System einzudringen. Allerdings muss der Angreifer bereits über einige administrative Rechte auf dem Webserver verfügen.

WhiteHouse.gov und weitere 10.000 Webseiten gefährdet

Das Weiße Haus veröffentlichte kürzlich ein Plugin, das das betroffene Context-Modul benötigt. Die Administratoren installierten das Plugin unter anderem auf den Webseiten des US-Präsidenten Barack Obama und veröffentlichten den Quellcode Ende April anlässlich der Entwickler-Konferenz "DrupalCon" in San Francisco. Dies wirft nun Fragen auf, in welchem Umfang die Sicherheitsexperten des Weißen Hauses die genutzten Plugins und Module überprüfen.

Die Sicherheitslücke wurde dem Entwickler des Moduls inzwischen gemeldet und wartet nun darauf, mit der nächsten Version behoben zu werden. Sicherheitsexperte Greg James Knaddison veröffentlichte für die Übergangszeit auf seiner Webseite "Cracking Drupal" eine Anleitung, wie Angriffe über das Context-Modul verhindert werden können. Ob das Weiße Haus ebenfalls an einer eigenen Lösung gearbeitet wird, ist bislang nicht bekannt.

Was denkst du?

Hier kannst du deine Meinung zum Artikel "Drupal: Sicherheitslücke im Weißen Haus" äußern. Melde dich hierfür mit deinem Netzwelt-Account an oder fülle die Felder aus.

1 Kommentar

  • Gerhard Killesreiter schrieb Uhr
    AW: Drupal: Sicherheitslücke im Weißen Haus

    Diese 10000 Websites sind lediglich dann gefährdet wenn sie grob kaputtkonfiguriert wurden. Um die Schwachstelle auszunutzen braucht ein Nutzer die "administer blocks"-Erlaubnis. Nichts was man leichtfertig vergibt. Ferner taucht der Bug in einem als "release candidate" gekennzeichneten Tarball auf. Wer sowas produktiv verwendet sollte schon wissen was er tut. GK

Darüber lacht die Netzwelt

Das Internet erzählt viele lustige und skurrile Geschichten, die besten haben wir euch hier zusammengestellt.

Infos zum Artikel
Autor
Mirko Schubert
Datum
Kontakt
Leserbrief
Kommentare
Alle anzeigen
Dieser Artikel enthält die folgenden Schlagworte
Links zum Thema
Anzeige
netzwelt Newsletter

Immer gut informiert mit unserem Newsletter! Der Versand erfolgt am Dienstag, Donnerstag und Samstag vormittags.

Powered by
DSL- & LTE-Speedtest Teste Deine DSL- oder LTE-Geschwindigkeit
Der große Android-Update-Fahrplan Nie mehr ein Android-Update verpassen
Gratis Software Acht kostenlose Vollversionen
Störungsmelder Prüfe hier, ob eine Webseite down ist
Fußball live - Alle Spiele & Infos Alle Fußball Partien im Überblick
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
netzwelt newsletter
netzwelt folgen
netzwelt hosted by