Content Management in der Praxis

Sicherheitslücken in Drupal-Drittanbietermodulen

In zwei Drittanbieter-Modulen für Drupal wurden Sicherheitslücken entdeckt, die beide nicht den CMS-Kern betreffen.

"Highly Critical": Mime Mail

Eine als "Highly critical" bewertete Sicherheitslücke im Modul Mime Mail ermöglicht das Ausführen beliebigen Codes. Mime Mail ist ein Drittanbieter-Modul für Drupal, das nicht zur Standardinstallation des CMS gehört. Betroffen ist vor allem Mime Mail in Versionen vor 5.x-1.0 und älter, aber wohl auch 6.x-alpha1 und ältere Versionen.

Mime Mail ist ein Hilfsmodul, das es anderen Modulen ermöglicht, MIME-Mails zu versenden. Die Lücke wurde durch den unsauberen Gebrauch von PCRE, also von "Regulären Ausdrücken". Dadurch kann beliebiger PHP-Code auf dem Server ausgeführt werden.

Das Drupal-Team empfiehlt ein sofortiges Upgrade auf Mime Mail 5.x-1.1 für Drupal 5; für die Alpha-Versionen von Mime Mail für Drupal 6.x leistet das Drupal-Team keinen Support.

"Less Critical": Menu Block

Im Modul Menu Block wurde ebenfalls eine Sicherheitslücke entdeckt, die Cross Site Scripting (XSS) ermöglicht. Betroffen hiervon sind Menu Block für Drupal 6.x in Version 6.x-2.2 und älter sowie Menu Block für Drupal 5.x in den Versionen 5.x-2.0 bzw. 5.x-1.0.

Auch hier stehen Upgrades zur Beseitigung der Lücke zur Verfügung.

Weitere Informationen zu den Sicherheitslücken:
SA-CONTRIB-2010-031 - Menu Block - Cross Site Scripting (XSS)
SA-CONTRIB-2010-030: Mime Mail - Arbitrary code execution