Sicherheitslücke im CMS Drupal setzt Passwort zurück

Drupal: Sicherheitslücke im Weißen Haus

Auf einen Hinweis entdeckte der Entwickler Justin Klein Keane kürzlich eine schwere Sicherheitslücke in einem Plugin des Content Management Systems Drupal. Die Lücke erlaubt es Angreifern, über einen Schadcode das Administrator-Passwort des Systems zurückzusetzen. Etwa 10.000 Webseiten, darunter auch die Webseite des Weißen Hauses, sind betroffen.

?
?

Drupal ist ein sehr flexibles Content Management System, das oft für mittlere bis große Webseiten eingesetzt wird.
Drupal ist ein sehr flexibles Content Management System, das oft für mittlere bis große Webseiten eingesetzt wird.
Anzeige
Werbung

Drupal ist ein sehr flexibles Content Management System, das von Web-Entwicklern gern für mittlere bis große Webseiten eingesetzt wird. Vom einfachen Blog bis zum großen sozialen Netzwerk findet das CMS viele Anwendungsmöglichkeiten. So verwenden Institutionen wie das Weiße Haus, Ubuntu, Amnesty International oder MTV Drupal als Basis für ihre Webseite.

In dem häufig eingesetzten Modul "Context" wurde nun eine schwere Sicherheitslücke entdeckt. Angreifer können über die XSS-Schnittstelle Schadcode in das Login-Formular einschleusen, um das Administrator-Passwort zurückzusetzen und somit unbemerkt in das System einzudringen. Allerdings muss der Angreifer bereits über einige administrative Rechte auf dem Webserver verfügen.

WhiteHouse.gov und weitere 10.000 Webseiten gefährdet

Das Weiße Haus veröffentlichte kürzlich ein Plugin, das das betroffene Context-Modul benötigt. Die Administratoren installierten das Plugin unter anderem auf den Webseiten des US-Präsidenten Barack Obama und veröffentlichten den Quellcode Ende April anlässlich der Entwickler-Konferenz "DrupalCon" in San Francisco. Dies wirft nun Fragen auf, in welchem Umfang die Sicherheitsexperten des Weißen Hauses die genutzten Plugins und Module überprüfen.

Die Sicherheitslücke wurde dem Entwickler des Moduls inzwischen gemeldet und wartet nun darauf, mit der nächsten Version behoben zu werden. Sicherheitsexperte Greg James Knaddison veröffentlichte für die Übergangszeit auf seiner Webseite "Cracking Drupal" eine Anleitung, wie Angriffe über das Context-Modul verhindert werden können. Ob das Weiße Haus ebenfalls an einer eigenen Lösung gearbeitet wird, ist bislang nicht bekannt.

Mehr zum Thema »

Links zum Thema


Alle netzwelt-Specials

Google Leistungsschutzrecht Sind Google-Snippets nun doch erlaubt?

Die Regierungskoalition hat den Entwurf zum Leistungsschutzrecht abgeändert. Kleine Textausschnitte wie Snippets sollen nun doch ohne Lizenz...

Datenschutz Collusion Tracking-Cookies auf der Spur

Das AddOn Collusion für Firefox und Chrome zeigt in Echtzeit, welche Seiten für wen Daten sammeln und wie die Online-Werbebranche zusammenhängt....