Dasjenige Bundesamt zu Gunsten von Sicherheit in welcher Informationstechnik (BSI) hat am 06.11.2024 zusammenführen Sicherheitshinweis zu Gunsten von Drupal hrsg.. Die Software enthält mehrere Schwachstellen, die von Angreifern ausgenutzt werden können. Betroffen von welcher Sicherheitslücke sind dasjenige operating system Windows sowie dasjenige Produkt Open Source Drupal.

Die neuesten Hersteller-Empfehlungen diesbezüglich Updates, Workarounds und Sicherheitspatches zu Gunsten von sie Sicherheitslücke finden Sie hier: Drupal Security Advisory (Stand: 06.11.2024). Weitere nützliche Quellen werden weiter unten in diesem Einschränkung aufgeführt.

Mehrere Schwachstellen zu Gunsten von Drupal gemeldet – Risiko: mittel

Risikostufe: 3 (mittel)
CVSS Kusine Score: 7,4
CVSS Zeitlich Score: 6,4
Remoteangriff: Nein

Zur Einschätzung des Schweregrads von Schwachstellen in Computersystemen wird dasjenige Common Vulnerability Scoring System (CVSS) angewandt. Jener CVSS-Standard ermöglicht es, potenzielle oder tatsächliche Sicherheitslücken hinauf Sockel verschiedener Metriken miteinander zu vergleichen, um eine darauf aufbauende Prioritätenliste zur Präambel von Gegenmaßnahmen zu erstellen. Z. Hd. die Schweregrade einer Schwachstelle werden die Attribute „keine“, „tief“, „mittel“, „hoch“ und „ungelegen“ verwendet. Jener Kusine Score bewertet die Voraussetzungen zu Gunsten von zusammenführen Offensive (u.a. Authentifizierung, Kompliziertheit, Privilegien, Userinteraktion) sowie dessen Konsequenzen. Beim Zeitlich Score fließen droben die Zeit veränderbare Rahmenbedingungen in die Ordnung ein. Die Gefährdung welcher aktuellen Schwachstelle wird nachdem dem CVSS mit einem Kusine Score von 7,4 wie „mittel“ eingeschätzt.

Drupal Programmfehler: Schilderung des Angriffs

Drupal ist ein freies Content-Management-System, basierend hinauf welcher Scriptsprache PHP und einer SQL-Datensammlung. Gut zahlreiche Extensions kann welcher Funktionsumfang welcher Core-Installation individuell erweitert werden.

Ein entfernter, anonymer Angreifer kann eine Schwachstelle in Drupal ausnutzen, um Sicherheitsvorkehrungen zu umgehen oder zusammenführen Cross Site Scripting Offensive durchzuführen.

Von welcher Drupal-Sicherheitslücke betroffene Systeme im Gesamtschau

operating system
Windows

Produkte
Open Source Drupal basic_auth <7.x-1.4 (cpe:/a:drupal:drupal)
Open Source Drupal basic_auth 7.x-1.4 (cpe:/a:drupal:drupal)
Open Source Drupal Tooltip <1.1.2 (cpe:/a:drupal:drupal)
Open Source Drupal Tooltip 1.1.2 (cpe:/a:drupal:drupal)

Allgemeine Empfehlungen zum Umgang mit IT-Sicherheitslücken

1. Benützer welcher betroffenen Anwendungen sollten sie hinauf dem aktuellsten Stand halten. Hersteller sind im Rahmen Bekanntwerden von Sicherheitslücken dazu angehalten, sie schnellstmöglich durch Kreation eines Patches oder eines Workarounds zu beheben. Sollten neue Sicherheitsupdates verfügbar sein, installieren Sie sie zeitnah.
2. Um Rat fragen Sie zu Informationszwecken die im nächsten Fragment aufgeführten Quellen. Vielmals enthalten sie weiterführende Informationen zur aktuellsten Version welcher betreffenden Software sowie zur Verfügbarkeit von Sicherheitspatches oder Hinweise zu Workarounds.
3. Wenden Sie sich im Rahmen weiteren Fragen oder Unsicherheiten an Ihren zuständigen Administrator. IT-Sicherheitsverantwortliche sollten die genannten Quellen regelmäßig daraufhin prüfen, ob ein neues Sicherheitsupdate zur Verfügung steht.

Hersteller-Informationen zu Updates, Patches und Workarounds

An dieser Stelle entscheiden sich weiterführende Sinister mit Informationen droben Programmfehler-Reports, Security-Fixes und Workarounds.

Drupal Security Advisory vom 2024-11-06 (06.11.2024)
Weitere Informationen finden Sie unter: https://www.drupal.org/sa-contrib-2024-058

Drupal Security Advisory vom 2024-11-06 (06.11.2024)
Weitere Informationen finden Sie unter: https://www.drupal.org/sa-contrib-2024-057

Versionshistorie dieses Sicherheitshinweises

Dies ist die initiale Halterung des vorliegenden IT-Sicherheitshinweises zu Gunsten von Drupal. Nebst Veröffentlichung von Updates wird dieser Text aktualisiert. Änderungen oder Ergänzungen können Sie in dieser Versionshistorie nachlesen.

06.11.2024 – Initiale Halterung

+++ Redaktioneller Kennziffer: Dieser Text wurde hinauf Sockel aktueller BSI-Wissen generiert und wird je nachdem Warnlage datengetrieben aktualisiert. Feedback und Anmerkungen nehmen wir unter [email protected] entgegen. +++

Nachstellen Sie News.de schon im Rahmen Facebook, Twitter, Pinterest und YouTube? Hier finden Sie brandheiße News, aktuelle Videos und den direkten Kabel zur Redaktion.
kns/roj/news.de