zurück zum Artikel

Sicherheitsupdates: Mehrere Lücken in Drupal geschlossen

Sicherheitsupdates: Mehrere Lücken in Drupal geschlossen

(Bild: geralt)

In aktualisierten Versionen haben die Drupal-Entwickler Schwachstellen geschlossen. Der Bedrohungsgrad gilt als "mittelschwer".

Das Content Management System (CMS) Drupal ist über drei Sicherheitslücken (CVE-2019-10909, CVE-2019-10910, CVE-2019-10911) angreifbar. Außerdem haben die Entwickler sich um eine Schwachstelle in der JavaScript-Bibliothek jQuery gekümmert. Diese für Angreifer möglichen Ansatzpunkte sind nun in aktuellen Version des CMS geschlossen.

Ist ein Übergriff erfolgreich, könnten Angreifer unter Umständen Cookies modifizieren, um sich anzumelden, XSS-Attacken ausführen oder sogar Schadcode auf Servern ablegen. Das Drupal-Team stuft den Schweregrad der Lücken als "mittelschwer" ein. Weitere Infos haben sie in einer Warnung zusammengetragen [1].

Darüber hinaus haben die Entwickler als Vorsichtsmaßnahme den Umgang mit der jQuery.extend()-Funktion angepasst. Weitere Details dazu findet man in einem Beitrag [2]. Abgesichert sind die Drupal-Versionen 7.66, 8.5.15 und 8.6.15. (des [3])


URL dieses Artikels:
http://www.heise.de/-4402364

Links in diesem Artikel:
[1] https://www.drupal.org/sa-core-2019-005
[2] https://www.drupal.org/sa-core-2019-006
[3] mailto:des@heise.de