Kurznachrichten

Eine hoch kritische Sicherheitslücke, die schon kräftig ausgenutzt wird, bedroht Websites, auf denen Drupal installiert ist. Die betroffenen Versionen sind Drupal 7.x und 8.x. Es wird dringend empfohlen das Sicherheitsupdate unverzüglich zu installieren.

Eine von Drupal selbst als hoch kritisch eingestufte Sicherheitslücke wird mit den neuen Versionen vom 28. März 2018 gefixt. Es wird empfohlen die Versionen 7.x auf 7.58 und 8.5.x auf 8.5.1 zu aktualisieren. Falls ein Update nicht möglich sein sollte, kann auf den jeweiligen kleineren Patch den Drupal für beide Versionsstränge zur Verfügung stellt, zurückgreifen.

Ingesamt 7 Sicherheitslücken wurden mit den Core-Updates 8.4.5 und 7.5.7 behoben. Betroffen davon sind alle Drupal-Versionen 8.4.x-dev und 7.x-dev. Die Patches wurden am 21. Februar 2018 veröffentlicht.

Das am 16. August 2017 veröffentlichte Drupal 8.3.7 behebt drei kritische Sicherheitslücken, von denen alle vorherigen Versionen der 8.x-Reihe betroffen sind. Für Drupal 7.x existiert eine Warnung, die kritische Lücken in einem Third-Party-Plugin nennen. Die Infos dazu sind ebenfalls in der Sicherheitsmeldung (SA-CORE-2017-004) enthalten.

Die am 21. Juni 2017 veröffentlichten Versionen Drupal 8.3.4 und 7.56 beheben mehrere Sicherheitslücken. Betroffen sind alle älteren Versionen von Drupal 7.x. und 8.x. Das sofortige Aktualisieren wird dringend empfohlen.

Betroffen von der Access-Bypass-Lücke sind die Versionen 8.2.7 oder älter sowie 8.3.0 oder älter. Unter gewissen Voraussetzungen kann der Hacker Zugriff auf das System erlangen und einen User-Account anlegen. Das Sicherheitsrisiko wird als kritisch (17/25) eingestuft. Die Versionen 8.2.8 und 8.3.1, veröffentlicht am 19. April 2017 beheben die Schwachstelle.