Es kommt selten vor, dass wir Drupal-User warnen müssen. Meistens stehen WordPress- oder Joomla-Installationen im Zentrum von Angriffen.
Schon am 20.11.2013 hat das Security Team von Drupal unter https://drupal.org/security den Warnhinweis SA-CORE-2013-003 (https://drupal.org/SA-CORE-2013-003 ) veröffentlicht und auch als „highly critical“ eingestuft.
Ein wichtiger Aspekt dabei dürfte der Zufallszahlengenerator sein, der in den anfälligen Versionen der Drupal 6 und 7 – Serie verwendet wird, um Verschlüsselungsalgorithmen mit Pseudo-Zufallszahlen zu versorgen. Da es eben keine echten Zufallszahlen sind, besteht die Gefahr, dass die generierten Zahlenfolgen mit einem entsprechenden Algo vorausgesagt werden können.
Daneben sind – aufgrund anderer Sicherheitslücken – auch Cross-Site-Scipting und Cross-Site-Request-Forgery-Angriffe möglich. Diese Lücken sollten ebenfalls geschlossen werden.
Die Bedrohungen können durch ein Upgrade abgewendet werden:
User von Drupal 6.x nutzen dieses Upgrade: Drupal core 6.29 . Wenn Sie Drupal 7.x einsetzen, nutzen Sie dieses Upgrade: Drupal core 7.24.
Allerdings empfiehlt Drupal auch eine Änderung der .htaccess Dateien wie auf https://drupal.org/SA-CORE-2013-003 beschrieben. Wie die veränderten .htaccess Dateien aussehen sollten, ist dort beschrieben. Dies zitierte Anleitung gilt für Apache-Webserver, die auch bei goneo zum Einsatz kommen. Wenn die .htaccess Dateien nicht angepasst werden, gibt die Statusseite /reports/status Fehlermeldungen aus.
Gibt es für https://drupal.org/SA-CORE-2013-003 auch ein deutsche Übersetzung?
Wir haben keinen deutschsprachigen Feed für Sicherheitsmeldungen in Zusammenhang mit Drupal gefunden. Als Quellen für Informationen zu Drupal können wir http://www.drupal-initiative.de anbieten. Wenn es um Supportfragen zu Drupal geht, ist auch http://www.drupalcenter.de empfehlenswert und natürlich auch das BSI (dort kann man aber nur eher allgemeine Informationen erwarten): https://www.bsi.bund.de/DE/Publikationen/Studien/CMS/Studie_CMS.html