Von der Drupal Homepage (Link vom 29.10.2014):
Drupal Core – Highly Critical – Public Service announcement – PSA-2014-003
„[…] Automated attacks began compromising Drupal 7 websites that were not patched or updated to Drupal 7.32 within hours of the announcement of SA-CORE-2014-005 – Drupal core – SQL injection. You should proceed under the assumption that every Drupal 7 website was compromised unless updated or patched before Oct 15th, 11pm UTC, that is 7 hours after the announcement.“ (Hervorhebungen von mir)
Das Drupal-Team hat also eine Sicherheitslücke und den dazugehörigen Patch veröffentlicht. Nur 7 Stunden später waren alle nicht-gepachten Systeme angegriffen und müssen als kompromittiert gelten! Die Empfehlung lautet, das System herunterzufahren, eine Neuinstallation durchzuführen und ein Backup (von vor dem 15.Oktober) einzuspielen.
Wenn ich das lese, muss ich gestehen: ich bin beeindruckt. Welche Chance lässt es den Website-Betreibern und Admins dieser Welt, wenn innerhalb von 7 Stunden die gesamte Drupal-Welt übernommen wird? Vor dem Schlafen-Gehen war die Welt in Ordnung, und nach dem Aufwachen stellt man fest, dass ein kritischer Sicherheitpatch verfügbar ist, und es ist völlig sinnlos, ihn einzuspielen, da mein Systeme schon befallen sind?
Willkommen in der Welt des Nullten Tages.
Wobei, 7 Stunden ist ja noch harmlos. Schon nach den Code Red I / II, Ninja und Slammer Geschichten Anfang des letzten Jahrzehnts hat man sich Gedanken um die schnellstmögliche Infektion des gesamten Internets gemacht. Ein ziemlich beeindruckendes Szenario wurde 2007 von Stanford, Moore, Paxson und Weaver vorgelegt und analysiert: es ist kein Problem, das gesamte Internet (ja, das gesamte!) in unter 1 Sekunde zu infizieren!
Das wäre dann eine Zero-Second Lücke…
Hier der Artikel: http://ranger.uta.edu/~dliu/courses/cse6392-ids-spring2007/papers/CCS-worm04-topspeed.pdf
Und hier ein Blick über die Grenzen des aktuellen Internets hinaus: www.ende.de