Nicht lange ist es her, da haben die Jahrhundert-Sicherheitslücken «Spectre» und «Meltdown» in den Medien für weltweite Schlagzeilen gesorgt. Die Schwachstellen haben es Angreifern erlaubt, schadhafte Befehle auf jeglichen betroffenen Prozessoren auszuführen. Nun wurde eine ähnlich kritische Sicherheitslücke im CMS Drupal entdeckt und koordiniert veröffentlicht, und – natürlich – durch uns sofort geschlossen.

Die Sicherheitslücke, die als SA-CORE-2018-002 bezeichnet wird, wurde durch den Finnen Jasper Mattsson entdeckt. Wie zahlreiche andere Programmierer versuchte er laufend, Sicherheitslücken im Core von grossen Software-Distributionen zu finden. Eine solche Sicherheitslücke kann, je nach Hersteller der Software, sehr lukrativ sein – Microsoft beispielsweise zahlt für gefundene kritische Sicherheitslücken eine Prämie von bis zu 100'000 USD. Im Open-Source-Business jedoch werden Sicherheitslücken oft nicht gegen Geld, sondern gegen eine gewisse Bekanntheit abgewertet – schliesslich hat derjenige, der die Lücke entdeckt (je nach Schweregrad) die gesamte Industrie an der Angel und somit eine immense Verantwortung. Jasper Mattsson hat in diesem Fall das einzig richtige getan – er hat die Sicherheitslücke vertraulich beim Drupal Security Team gemeldet und gleich eine entsprechende Lösung implementiert. 

Drupal Security Team Patch Release: Twitter Screenshot

Die Veröffentlichung des Security Patches erfolgte am 28.03.2018 um 21:24 Uhr auf Twitter unter dem Account @drupalsecurity. Keine zwei Stunden später waren unsere Kundenprojekte bereits geschützt.

Um die Öffentlichkeit und damit auch alle Anwender der Drupal-Software – auch wir von Previon+ sind Anwender – vorzubereiten, hat das Drupal Security Team vor einigen Wochen die (mehr oder weniger) exakte Publikationszeit verkündet, in welcher die Lücke veröffentlicht wird. Aus guten Gründen wird empfohlen, dass die Lücke innert Stunden geschlossen werden muss, da sie sonst unweigerlich ausgenützt wird. Gerade Bots und Hacker warten nur darauf, schadhafte Software zu schreiben, um unrechtmässigen Zugang zu Projekten zu erhalten oder Schaden anzurichten. In der Vergangenheit zeigte sich, dass Lücken in diesem Umfang bereits schon nach wenigen Stunden von Schadsoftwares automatisiert ausgenutzt wurden.

Previon+ hat sich selbstverständlich auf die Veröffentlichung vorbereitet: Drei Entwickler waren zum Veröffentlichungszeitpunkt in den Startlöchern und haben direkt alle Kundenprojekte gegen die Sicherheitslücke gewappnet. So konnten wir bereits zwei Stunden nach der Veröffentlichung der Lücke bei allen Kundenseiten eine Entwarnung geben.

Wer nun denkt, dass Sicherheitslücken bei Drupal gang und gäbe sind, irrt: Die letzte Sicherheitslücke in diesem Ausmass datiert ins Jahr 2014! Damals war es möglich, durch nicht überprüfte Eingaben direkt auf der Datenbank Befehle auszuführen und beliebige Daten zu verändern. Die aktuelle Lücke erlaubte es, mit einer modifizierten Anfrage Schadcode in eine beliebige Webseite zu integrieren. Beides sind «Worst Case»-Szenarien, die aber durch wissensdurstige Open-Source-Entwickler, ein gewissenhaftes Drupal Security Team und natürlich der Mitarbeit von jedem einzelnen Webseiten-Betreiber, schnell unschädlich gemacht werden konnten.

Jetzt mehr über Drupal Security erfahren

Florian Müller

Florian Müller

ist ein echter Teamplayer - sowohl beruflich als auch privat. Der Allrounder ist sowohl in der klassischen PHP-Entwicklung zu Hause, als auch bei kniffligen Aufgaben, die Improvisation und Querdenken erfordern.