Meine Damen und Herren, habe ich Ihre Aufmerksamkeit?

Die Datenbank-Abstraktions-Schicht von Drupal, die eigentlich SQL-Injections vermeiden soll, hat selber eine Sicherheitslücke, sodass der Schutz wirkunslos ist.

In den vergangen Tagen sind bei Drupal mehrere Berichte eingangen, die bestätigen, dass die Sicherheitslücke tatsächlich von Angreifern genutzt wurde.

Drupal mahnt zur Vorsicht und empfiehlt seinen Nutzern davon auszugehen, dass nahezu alle Systeme kontaminiert sind.

Ein Sicherheitspatch und Anweisungen um das System wieder zu bereinigen stehen inzwischen zur Verfügung.

https://www.drupal.org/SA-CORE-2014-005
https://www.drupal.org/PSA-2014-003