Wichtiges Update eingespielt

Hallo alle zusammen,

es wurde gerade (etwas unvorbereitet) ein wichtiges Update eingespielt. Dazu wurde unsere Webseite ohne Ankündigung in den Wartungsmodus geschaltet. Das ist natürlich nicht schön, aber für den Update-Vorgang von Wichtigkeit.

Das Update schließt eine Sicherheitslücke, bei der sogar Gäste bestimmten Code ausführen und dadurch die Webseite übernehmen konnten. Infos gibt es unter folgendem Link: http://www.drupalcenter.de/node/51927

Durch das eilige Einspielen des Updates konnten keine Tests mit unserer Webseite gefahren werden. Bitte meldet daher Unzulänglichkeiten.

Beste Grüße
Michael

Achtung! Update zur Sicherheitsmeldung!

Am gestrigen Mittwoch, 29.10.2014 hat das Drupal-Security-Team eine weitere Warnung zur Sicherheitslücke vom 15.10.2014 bekannt gegeben. Es stellte sich heraus, dass die Sicherheitslücke bereits nach 7 Stunden durch automatische Angriffe weltweit ausgenutzt wurde. Da die Angriffe nicht immer sichtbar durchgeführt wurden, gilt jede Webseite die später als in den ersten 7 Stunden das Update eingespielt hat als kompromittiert. In Drupal-Support-Foren wurde bereits von zahlreichen Hacks berichtet. Darunter auch kleine Seiten wie die unsere.

Was bedeutet das für smart-Niederrhein.de? Wir haben das Sicherheitsupdate circa 24 Stunden nach Veröffentlichung eingespielt. Somit mussten wir davon ausgehen, dass auch unsere Seite betroffen war! Also ...

Heute wurde die aktuelle (und eventuell kompromittierte) Webpräsenz durch das letzte Backup ersetzt. Unsere Backup-Strategie hält immer eine Datensicherung vom Vortag und eine weitere Sicherung pro Monat vor. In diesem Fall haben wir großes Pech und mussten auf ein Backup vom 03.10.2014 zurückgreifen. Das bedeutet ...

Die Webseite wurde am heutigen 30.10.2014 auf den Stand vom 03.10.2014 zurückgesetzt. Alle Beiträge, Kommentare, Umfragen, Termine, Fotos und Änderungen in den Benutzerprofilen sind verloren gegangen. Auch ein neuer gerade registrierter User ist nicht mehr vorhanden.

Wegen der Wichtigkeit und der möglichen Ausmaße ging keine Vorabinfo an Besucher und User von smart-Niederrhein.de. Wir mussten (wenn auch vorsorglich) handeln.

Unsere Webseite läuft nun wieder, wenn auch auf einem älteren Stand. Was bleibt nun noch zu tun ...

Obwohl alle Passwörter verschlüsselt in der Datenbank hinterlegt sind, raten wir jedem Nutzer sein Passwort über das Benutzerprofil (Benutzerkonto -> Bearbeiten) zu ändern.

Infos zur Sicherheitslücke: Drupal Core - Highly Critical - Public Service announcement - PSA-2014-003 und auf deutsch: Drupal-Lücke mit dramatischen Folgen

Solltet Ihr Fragen zu dieser ganzen Problematik haben, dann lasst es uns bitte wissen.

Kommentare

Bild des Benutzers holthuys

für die Info.
Harald

Bild des Benutzers holthuys

sieht es denn nun mit den Telnehmerlisten der Stammtische aus? Bekommen wir die noch zusammen - oder müssen die Teilnehmer sich noch einmal melden?
Harald

Bild des Benutzers Volkhard

Ich habe auf Facebook in der Gruppe smart-niederrhein die Info des Hackerangriff artikuliert und einen Link zu dieser Seite gesetzt.

**

Bild des Benutzers rappelkiste_src

@Volkhard: Danke.

@Harald: Ich habe vor dem großen Löschen noch einige Screenshots gemacht. Werde morgen mal schauen, was ich nachpflegen kann. Es wird aber was auf der Strecke bleiben. Daher würde ich empfehlen, sich noch einmal zu den Stammtischen, etc. einzutragen.

Anstehende Termine

Datum Titel Text
19.11.2021 - 19:30 bis 22:30 Smart-Niederrhein Stammtisch

Die Örtlichkeit steht noch nicht fest

17.12.2021 - 19:30 bis 22:30 Smart-Niederrhein Weihnachtsstammtisch

Infos stehen hier

21.01.2022 - 19:30 bis 22:30 Smart-Niederrhein Stammtisch

Die Örtlichkeit steht noch nicht fest

18.02.2022 - 19:30 bis 22:30 Smart-Niederrhein Stammtisch

Die Örtlichkeit steht noch nicht fest

18.03.2022 - 19:30 bis 22:30 Smart-Niederrhein Stammtisch

Die Örtlichkeit steht noch nicht fest