Alert!

Drupal-CMS schließt Sicherheitslücken

Die Entwickler des quelloffenen Content-Management-Systems Drupal schließen mit neuen Versionen Cross-Site-Scripting-Lücken. Ein Zusatzmodul erlaubt sogar das Ausführen von fremdem Code auf dem Server.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 32 Beiträge
Von
  • Dirk Martin Knop

Aktualisierte Versionen des kostenlosen und quelloffenen Content-Management-Systems Drupal dichten Cross-Site-Scripting-Lecks (XSS) ab, durch die Angreifer aus dem Netz etwa fremden Skriptcode im Sicherheitskontext der Seiten im Browser der Anwender einschleusen und ausführen können. Auch eine Sicherheitslücke im Zusatzmodul Metatags, die das Ausführen fremden Programmcodes auf dem Server ermöglicht, schließen die Entwickler mit einem Update.

Eine der XSS-Lücken beruht laut dem Fehlerbericht der Drupal-Entwickler auf einer fehlerhaften Verarbeitung von nicht spezifikationsgerechten Zeichen in der UTF8-Kodierung durch den Internet Explorer 6. Dadurch können Angreifer in diesem Browser Zeichen einschleusen, die Drupal eigentlich ausfiltert, sofern sie der UTF8-Spezifikation entsprechen. Das Entfernen von beobachteten RSS-Feeds im Aggregator-Modul geschieht durch eine einfache http-get-Anfrage. Folgt ein Nutzer mit passenden Rechten zum Entfernen von RSS-Feeds einem manipulierten Link, beispielsweise automatisch durch ein präpariertes <IMG>-Tag in einer Webseite, kann er dadurch unbeabsichtigt abonnierte Feeds löschen.

Eine weitere Lücke stellen aus dem Web zugreifbare Theme-Dateien (.tpl.php) dar, wenn die PHP-Option register_globals aktiv ist. Zwar versuchen die mitgelieferten .htaccess-Dateien von Drupal, diese Option zu deaktivieren, jedoch schlägt das in bestimmten Konfigurationen fehl. Die Entwickler zeigen in den neuen Versionen Warnungen auf den Administratorseiten des CMS an, die Version 5.6 verweigert dann sogar die Installation.

Die Entwickler haben die Lücken in den Drupal-Versionen 4.7.11 und 5.6 geschlossen. Diese stehen als Komplettpakete zum Download bereit. Administratoren können aber auch die einzelnen Patches, die in den Sicherheitsmeldungen verlinkt sind, herunterladen und auf existierende Installationen anwenden. Die Drupal-Entwickler empfehlen, das Update zügig einzuspielen.

Das auf Drupal basierende vbDrupal-Projekt, das Drupal mit dem populären vBulletin-Board vereint, hat ebenfalls aktualisierte Pakete zum Download bereitgestellt. Außerdem wurde eine Sicherheitslücke in dem Zusatzmodul nodewords 1.6 für Drupal 5.x entdeckt, durch die Angreifer Schadcode auf dem Server einschleusen und ausführen können. Version 5.x-1.7 des auch unter dem Namen Metatags bekannten Moduls behebt den Fehler. Nutzer der Zusatzkomponente sollten umgehend die installierte Version aktualisieren.

Siehe dazu auch: