In dem CMS Drupal in der Version 8.7.4 gibt es eine kritische Sicherheitslücke. Dieses erlaubt es Angreifern das CMS, ohne vorherige Anmeldung, zu übernehmen.

Wußten Sie schon dass sie Drupal bei Purwin-IT im Hosting Paket erhalten.

Die Ausnutzung der Lücke ist jedoch nicht so einfach. Laut den Entwicklern ist nur die Version 8.7.4 betroffen. Weiterhin ist sie nur dann ausnutzbar, wenn das experimentelle "Workspaces" Modul aktiviert ist.

Details finden Sie unter: https://www.drupal.org/sa-core-2019-008

Die Lücke wird durch das Update auf Version 8.7.5 geschlossen, oder durch die Deaktivierung des Workspaces-Modul. Wurde vor dem Update das Workspaces-Modul aktiviert, sollte auch die update.php ausgeführt wreden. Dadurch wird sichergestellt, dass auch der Cache geleert wird. Das Leeren von Reverse Proxy Caches  und Caches in Content Delivery Networks, sollten ebenfalls geleert werden.

Purwin-IT hat betroffene Kunden informiert und führt das Update gemäß Wartungsverträge durch.