Menü
Security

XSS-Lücke in Drupal-Modul beseitigt [Update]

vorlesen Drucken Kommentare lesen

Die Entwickler des Drupal -Moduls Context haben die Version 6.x-2.0-rc4 veröffentlicht, um eine Cross-Site-Scripting-Lücke in der Anzeige von Blockbeschreibungen zu beseitigen. [Update]Die Lücke lässt sich jedoch nur von Personen ausnutzen, die Rechte zum Administrieren der Blöcke besitzen und auf diese Weise JavaScript einbetten können. Wird das JavaScript im Browser eines angemeldeten Drupal-Admins ausgeführt, können Angreifer Zugriff auf das System erhalten.[/Update] Erst vor wenigen Woche führte eine "einfache" XSS-Lücke in einem Bugtracking-System im Weiteren zum Root-Zugriff auf Server der Apache Software Foundation; XSS-Lücken sind also durchaus ernstzunehmen.

Das Context-Modul ist zwar erst ein Release Candidate, allerdings wird es trotzdem bereits auf vielen Seiten produktiv eingesetzt – unter anderem auch vom Weißen Haus, dem Amtssitz des US-Präsidenten. Deren Modul "Context HTTP Headers" erfordert nämlich ebenfalls das Context-Modul. Weil des Modul noch den Status eines Release Candidate hat, haben die Drupal-Entwickler gemäß ihrer Sicherheits-Policy keine offizielle Warnung herausgegeben, obwohl sie sonst bei Modulen anderer Anbieter auf Lücken hinweisen.

Immerhin hatte Greg Knaddison, Mitglied des Drupal-Sicherheitsteam, in seinem eigenen Blog sicherheitshalber eine Liste mit Workarounds veröffentlicht, noch bevor die Context-Entwickler ihr Update bereit gestellt hatten.

Siehe dazu auch:

(dab)