1w6 - Ein Würfel System - Einfach saubere, freie Rollenspiel-Regeln

Drupal: Sicherheitslücke in 7.x

Gestern durch Zufall durch Hören eines Podcastes auf TheRadio.cc erfahren:

In Drupal 7.x gibt es seit Mitte Oktober eine Sicherheitslücke. Ich habe diese bei meiner eigenen Drupal-Instanz soeben geschlossen.

Die Sicherheitslücke ermöglichte SQL-Injections. Der "Vorteil" bzw mein persönliches Glück im Unglück war, dass zumindest die automatisierten Angriffe ihre Spur insofern hinterlassen, als dass sie diese Lücke nach ihrem Angriff selber schliessen. Heisst wäre diese Lücke bereits "wie von selbst" geschlossen gewesen, hätte ich mir weitere Gedanken machen müssen - auch wenn es auf meiner Drupal-Installation nur einen Account gibt, und das ist mein Eigener.

Wie schliesst man diese Lücke? Der auf drupal.org präsentierte Patch nimmt nur eine Änderung vor. Wer also keinen Server hat, und wie im Fall meines Hosters nicht mal fsockopen() freigeschaltet hat ( was bedeutet, dass für Drupal keine automatischen Updates vorgenommen werden ), UND noch dazu keine Shell-Commands per PHP ausführen kann ( hat mein Hoster aus verständlichen Sicherheitsgründen deaktiviert ), muss das manuell über diese eine betroffene Datei per FTP bewerkstelligen.

Sucht in eurer Drupal-Installation diese Datei:

[drupal]/includes/database/database.inc

In dieser Datei sucht ihr diese Zeile :

foreach ($data as $i => $value) {

Die ersetzt ihr durch :

foreach (array_values($data) as $i => $value) {

Das wars schon ;)

Wer Patchfiles lesen kann ( was nicht sonderlich schwer ist ), kann hier das entsprechende Patchfile von drupal.org nochmal selber einsehen.

Das hat für euch den Vorteil, dass ihr euch im richtigen Kontext bewegt ( die Zeilen vor und nach der betreffenden Codezeile werden nochmal dargestellt ), und hat zudem noch den Vorteil, sichergehen zu können, dass ich euch nicht dazu verleite, unter falschem Vorwand Sicherheitslöcher in eure Drupal-Installation zu reissen ( Hoaxing ).

Dieser Text ist mir was wert: Flattr this ?
Bild von Drak

Wir haben hier noch Drupal 6

Wir haben hier noch Drupal 6 - mit Drupal 7 hatte ich leider Schwierigkeiten…

Trotzdem danke!

Kommentar hinzufügen

Der Inhalt dieses Feldes wird nicht öffentlich zugänglich angezeigt.
CAPTCHA
Bist du ein biologisches Wesen? (5 Zeichen, Groß- und Kleinschreibung zählt!)
Image CAPTCHA
Enter the characters shown in the image.
Inhalt abgleichen
Über 1w6
Downloads
GNU General Public License v3
GNU General Public License v3
Flattr this ?

Benutzeranmeldung

CAPTCHA
Bist du ein biologisches Wesen? (5 Zeichen, Groß- und Kleinschreibung zählt!)
Image CAPTCHA
Enter the characters shown in the image.

Kommentare



„Dass man alle abs­trak­ten Werte benennt, macht den Ein­stieg wun­der­bar ein­fach und intuitiv.“
— Tim Charzinski in der Rezension bei den Teil­zeit­helden
    was Leute sagen…