Menü
Alert!

Sicherheits-Updates für Drupal

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 19 Beiträge
Von

Die Entwickler des Content Management Systems Drupal haben die Versionen 5.20 und 6.14 zum Download bereitgestellt, in denen vier Schwachstellen beseitigt sind. Dazu gehören eine Cross-Site-Request-Forgery-Schwachstelle, durch die Angreifer eine eigene OpenID-Identität zu einem bestehenden Drupal-Konto hinzufügen und im Anschluss darauf zugreifen können. Dazu muss das Opfer aber in Drupal eingeloggt sein und zusätzlich eine bösartige Webseite aufrufen. Ein weiterer Fehler in der OpenID-Implementierung ermöglicht darüber hinaus den Zugriff eines Nutzers auf das Konto eines anderen Nutzers, wenn beide den gleichen OpenID-2.0-Provider nutzen.

Des Weiteren lassen sich durch einen Fehler in der File-API von Apache ausführbare Dateien auf den Server hochladen. Dazu muss der Server aber nach Angaben so konfiguriert sein, dass er die Einstellungen der Datei .htaccess im Upload-Verzeichnis ignoriert. In welchen Fällen dies vorkommt, erläutert der Bericht nicht. Zudem beseitigt das Update für die Version 5.x eine Session-Fixation-Lücke, durch die ein Angreifer die Sitzung eines Anwenders übernehmen kann.

Zusammengefasst stufen die Entwickler die Lücken als kritisch ein und empfehlen ein baldiges Update. Anwender sollten die Updates-Notes vor der Aktualisierung beachten. Zusätzlich stehen Patches bereit.

Siehe dazu auch:

(Daniel Bachfeld) / (dab)