30.04.2009 12:31
Sicherheits-Update für Drupal
Die Entwickler des Content-Management-Systems Drupal haben die Versionen 5.17 und 6.11 veröffentlicht, in der eine Cross-Site-Scripting-Schwachstelle geschlossen ist. Sie lässt sich aber nur ausnutzen, wenn etwa ein Browser UTF-8-kodierte Zeichen als UTF-7-kodiert interpretiert. Laut Bericht soll dies beim Internet Explorer 6 und 7 in bestimmten Fällen passieren.
Darüber hinaus beheben die neuen Versionen einen Fehler, der sich für Cross-Site-Request-Forgery-Angriffe missbrauch lässt. Alternativ zu den Update stehen auch Patches bereit. Des Weiteren haben die Entwickler mehrere Berichte zu Schwachstellen in Erweiterungsmodulen anderer Hersteller veröffentlicht.
Siehe dazu auch:
- Drupal core - Cross site scripting
- Fivestar - Cross-site request forgery
- Node Access User Reference - Access Bypass
- News Page - SQL injection
- Exif - Cross Site Scripting
(Daniel Bachfeld)
/
(dab)
Unsere Entdeckung, dass via Skype verschickte URLs von Microsoft besucht werden, hat für einigen Aufruhr gesorgt. Mittlerweile liegen etwas mehr Informationen dazu auf dem Tisch. 
Die aktuelle BKA-Trojaner sperrt nicht nur den Rechner, sondern legt auch Bilder mit Kinderpornografie auf dem System ab. Mit Desinfec't kann man diesen Unrat aufspüren und beseitigen. 
Der Krypto-Experte Karsten Nohl kritisiert die Absenkung des Schutzniveaus für Steuer-, Sozial- und Gerichtsdaten im Rahmen der gesetzlichen Anpassungen für De-Mail. 
Wer verhindern will, dass Nutzer auf fremde Kalender zugreifen oder eigenen PHP-Code in den Server einschleusen, sollte baldmöglichst auf eine der aktuellen Versionen umsteigen. 
Die Mozilla-Entwickler haben zahlreiche Sicherheitslöcher in Firefox und Thunderbird gestopft. Durch eine kann ein Angreifer, der bereits einen Fuß in der Tür hat, an Systemrechte gelangen. 
