Published on 1w6 (http://www.1w6.org)

Startseite > Blogs > Merlin's blog > Drupal: Sicherheitslücke in 7.x

Drupal: Sicherheitslücke in 7.x

Di, 2014-11-04 13:32 — Merlin [1]

Gestern durch Zufall durch Hören eines Podcastes auf TheRadio.cc [2] erfahren:

In Drupal 7.x gibt es seit Mitte Oktober eine Sicherheitslücke. Ich habe diese bei meiner eigenen Drupal-Instanz soeben geschlossen.

Die Sicherheitslücke ermöglichte SQL-Injections. Der "Vorteil" bzw mein persönliches Glück im Unglück war, dass zumindest die automatisierten Angriffe ihre Spur insofern hinterlassen, als dass sie diese Lücke nach ihrem Angriff selber schliessen. Heisst wäre diese Lücke bereits "wie von selbst" geschlossen gewesen, hätte ich mir weitere Gedanken machen müssen - auch wenn es auf meiner Drupal-Installation nur einen Account gibt, und das ist mein Eigener.

Wie schliesst man diese Lücke? Der auf drupal.org präsentierte Patch nimmt nur eine Änderung vor. Wer also keinen Server hat, und wie im Fall meines Hosters nicht mal fsockopen() freigeschaltet hat ( was bedeutet, dass für Drupal keine automatischen Updates vorgenommen werden ), UND noch dazu keine Shell-Commands per PHP ausführen kann ( hat mein Hoster aus verständlichen Sicherheitsgründen deaktiviert ), muss das manuell über diese eine betroffene Datei per FTP bewerkstelligen.

Sucht in eurer Drupal-Installation diese Datei:

[drupal]/includes/database/database.inc

In dieser Datei sucht ihr diese Zeile :

foreach ($data as $i => $value) {

Die ersetzt ihr durch :

foreach (array_values($data) as $i => $value) {

Das wars schon ;)

Wer Patchfiles lesen kann ( was nicht sonderlich schwer ist ), kann hier [3] das entsprechende Patchfile von drupal.org nochmal selber einsehen.

Das hat für euch den Vorteil, dass ihr euch im richtigen Kontext bewegt ( die Zeilen vor und nach der betreffenden Codezeile werden nochmal dargestellt ), und hat zudem noch den Vorteil, sichergehen zu können, dass ich euch nicht dazu verleite, unter falschem Vorwand Sicherheitslöcher in eure Drupal-Installation zu reissen ( Hoaxing ).

Di, 2014-11-04 19:48 — Drak
Bild von Drak [4]

Wir haben hier noch Drupal 6

Wir haben hier noch Drupal 6 - mit Drupal 7 hatte ich leider Schwierigkeiten…

Trotzdem danke!

Dieser Text ist mir was wert: Flattr this [9] ? [10]
GNU General Public License v3

Das 1w6-System ist ein schlankes, frei lizensiertes, universell einsetz­bares Rollen­spielregel­werk,
das es Welten­bastlern und Spiel­leitern erleichtern soll,
ihre Welt oder Kam­pagne als Rollenspiel zu ver­öffent­lichen.

Alle Inhalte sind unter freien Lizenzen verfügbar.
Das Urheber­recht liegt bei Autorin oder Autor des jeweiligen In­haltes.
Bevor Du selbst etwas schreibst, lies bitte die Lizenz­bedingungen.

Diese Seite nutzt für ihr Funktionieren notwendige Cookies (und nur die). Und Bilder. Manchmal auch Text. Eins davon müssen wir erwähnen…

Druckversion
Source URL (retrieved on 2024-04-16 15:15): http://www.1w6.org/blog/merlin/2014-11-04-drupal-sicherheitsl-cke-7x

Links:
[1] http://www.1w6.org/uzanto/merlin
[2] http://theradio.cc
[3] https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
[4] http://www.1w6.org/uzanto/drak
[5] http://www.1w6.org/stichwort/drupal
[6] http://www.1w6.org/stichwort/security
[7] http://www.1w6.org/stichwort/sql-injection
[8] http://www.1w6.org/stichwort/technisches
[9] https://flattr.com/submit/auto?user_id=11564&url=https://www.1w6.org/blog/merlin/2014-11-04-drupal-sicherheitsl-cke-7x&title=Drupal: Sicherheitslücke in 7.x&description=Gestern durch Zufall durch Hören eines Podcastes auf TheRadio.cc erfahren: In Drupal 7.x gibt es seit Mitte Oktober eine Sicherheitslücke. Ich habe diese bei meiner eigenen Drupal-Instanz soeben geschlossen. Die Sicherheitslücke ermöglichte SQL&language=de_DE&category=text
[10] http://www.1w6.org/blog/drak/2010-06-10-flattr-auf-1w6