So handeln wir bei einem kritischen Drupal Security Update

Am 20. Mai 2026 hat das Drupal Security Team die Sicherheitsmeldung SA-CORE-2026-004 veröffentlicht. Eingestuft als hochkritisch (20/25) betrifft die Schwachstelle CVE-2026-9082 eine SQL-Injection in Drupals Datenbank-Abstraktionsschicht. Angreifer können ohne Authentifizierung präparierte Anfragen senden, die bei Seiten mit PostgreSQL-Datenbanken zu Datenabfluss, Rechteeskalation oder Codeausführung führen können.

Das klingt dramatisch. Und es ist ernst. Aber es ist auch normal. Solche Schwachstellen gehören zur Softwareentwicklung. Entscheidend ist nicht, ob sie auftreten, sondern wie man damit umgeht.

Unser Prozess: Von der Vorankündigung bis zum Abschluss

1. Vorankündigung auswerten

Bereits am 18. Mai, zwei Tage vor der Veröffentlichung, hat das Drupal Security Team über PSA-2026-05-18 angekündigt, dass ein kritisches Update im Zeitfenster vom 20. Mai zwischen 17:00 und 21:00 UTC erscheinen wird. Die Warnung enthielt den Hinweis, dass Exploits innerhalb von Stunden oder Tagen entwickelt werden könnten.

Für uns bedeutet das: Sofort die Kritikalität einschätzen. Wie hoch ist das Risiko? Welche Systeme könnten betroffen sein? In diesem Fall war klar: hoch genug, um das Team für ein schnelles Update einzuplanen.

2. Wartungslisten vorbereiten

Wir führen für all unsere Kundenprojekte strukturierte Wartungslisten. Kunden mit Wartungsvertrag werden priorisiert, denn genau dafür bezahlen sie: Für die Sicherheit, dass jemand handelt, bevor es zum Problem wird.

Die Listen werden nach Kritikalität der Applikation sortiert. Datensensible Systeme zuerst, öffentliche Webauftritte danach.

3. Kunden informieren

Über unser Kundenportal my.netnode.ch informieren wir betroffene Kunden über das anstehende Wartungsfenster. Je nach Projekt gibt es individuelle Absprachen, zum Beispiel bei Systemen, die nicht ohne Weiteres kurz offline genommen werden können.

4. Community-Austausch

Parallel verfolgen wir die Kommunikation auf dem Drupal Slack, auf drupal.org und in relevanten Security-Mailinglisten. Die Drupal-Community ist in solchen Situationen schnell und hilfsbereit. Informationen über Workarounds, betroffene Konfigurationen oder zusätzliche Risiken erreichen uns oft in Echtzeit.

5. CVE-Veröffentlichung: Nochmalige Einstufung

Sobald die vollständigen Details der Schwachstelle veröffentlicht werden, stufen wir die Kritikalität nochmals ein. Im Fall von CVE-2026-9082 war die Lage klar: SQL-Injection, unauthentifiziert ausnutzbar. Bei Systemen mit besonders sensitiven Daten wäre sogar eine temporäre Abschaltung eine Option, bis das Update eingespielt ist.

6. Updates einspielen

Jetzt geht es schnell. Dank unserer standardisierten Infrastruktur können wir Updates kontrolliert und sicher einspielen:

• Alle Kundenprojekte sind versionskontrolliert (Git)
• Jedes Projekt hat eine CI-Pipeline (Continuous Integration), die automatisch prüft, ob das Update keine bestehende Funktionalität bricht
• Ein übergeordnetes Monitoring überwacht den Zustand aller Systeme

Das Update wird eingespielt, die Pipeline läuft durch, das Monitoring wird geprüft. Alles grün? Weiter zum nächsten Projekt.

7. Kunden über die genaue Kritikalität informieren

Parallel zum Update-Prozess informieren wir die Kunden über die tatsächliche Kritikalität der Schwachstelle für ihr spezifisches System. Nicht jedes Projekt ist gleich betroffen, und diese Einordnung hilft, unnötige Sorgen zu vermeiden.

8. Erhöhtes Monitoring

Nach dem Update erhöhen wir für ein bis zwei Tage die Monitoring-Frequenz. Wir prüfen, ob alle Systeme regulär laufen, ob es unerwartetes Verhalten gibt und ob die Performance stabil bleibt.

9. Abschluss

Wenn alles stabil läuft, informieren wir die Kunden über die erfolgreich abgeschlossene Wartung. Die Sicherheitslücke ist geschlossen, der Normalbetrieb läuft weiter.

Warum das funktioniert

Dieser Ablauf ist möglich, weil wir für alle Kundenprojekte standardisierte Prozesse haben. Sämtliche Projekte sind versionskontrolliert, haben eine CI-Pipeline und ein übergeordnetes Monitoring. Jede Lösung, die wir betreiben, hat ein dem Projekt angepasstes Sicherheitskonzept, das die Kritikalität der Applikation beurteilt und eine geeignete Hosting-Lösung vorschlägt und betreibt.

NodeHive SaaS: 60 Minuten

Für unsere NodeHive SaaS-Lösung, die wir selbst betreiben, konnten wir die Sicherheitslücke innerhalb von 60 Minuten nach Veröffentlichung des Updates schliessen. NodeHive-Kunden profitieren hier direkt von der zentralen Wartung ohne eigenen Aufwand.

Danke an die Security-Teams

Grossen Dank geht an das Drupal Security Team sowie an das Symfony Security Team. Die Vorankündigung, die transparente Kommunikation und die professionelle Koordination rund um SA-CORE-2026-004 und CVE-2026-9082 waren vorbildlich. Solche Zusammenarbeit in der Open-Source-Community macht das Web sicherer für alle.

Ausblick: Mehr Updates, mehr Sicherheit

Wir gehen davon aus, dass es künftig mehr kritische Sicherheitsupdates geben wird. Der Grund: Immer leistungsfähigere KI-Tools beschleunigen das Auffinden von Schwachstellen in Code. Obwohl das eine Herausforderung darstellt, sehen wir dem positiv entgegen. Jede geschlossene Sicherheitslücke ist eine Verbesserung, je früher, desto besser.

Umso wichtiger wird es, die Wartung in professionelle Hände zu geben. Wer seine Systeme regelmässig warten lässt, kann solchen Situationen gelassen entgegensehen, statt in Panik zu geraten.

Drupal Wartung von NETNODE

Falls Sie für Ihre Drupal-Projekte von einer professionellen Wartung profitieren möchten: Unsere Drupal Wartung as a Service deckt genau solche Situationen ab. Ab CHF 2500 pro Jahr kümmern wir uns um Updates, Sicherheit und Monitoring, damit Sie sich auf Ihr Kerngeschäft konzentrieren können.

Lassen Sie uns darüber sprechen

Sie möchten wissen, wie professionelle Drupal-Wartung Ihr Projekt absichert? Wir beraten Sie gerne. Das erste Gespräch ist immer kostenlos.

Jetzt Kontakt aufnehmen