Wie diverse Medien melden, haben Experten vom
Security-Spezialisten Ioactive Schwachstellen in der Content-Management-Lösung
Drupal entdeckt, die es potentiellen Angreifern ermöglichen, über eine Man-in-the-Middle-Attacke Code auszuführen und sich der Datenbank-Credentials zu bemächtigen. Das Problem steckt offenbar im Upgrade-Prozess des CMS, bei dem die Updates unverschlüsselt übertragen und nicht verifiziert werden. Zudem werden die Drupal-Anwender nicht informiert, wenn ein Update fehlgeschlagen hat, wobei fälschlicherweise eine erfolgreiche Aktualisierung angezeigt wird. Gemäss den Ioactive-Analysen sind derzeit alle Drupal-Versionen vom Leck betroffen, inklusive dem in diesen Tagen veröffentlichten Release 8.02. Ein Patch steht aktuell noch nicht zur Verfügung.
Das Open-Source-CMS Drupal basiert auf PHP und zählt neben Wordpress und Joomla zu den am meisten eingesetzten Content-Management-Lösungen.
(rd)
