Content Management in der Praxis

Weitere Sicherheitslücken in Drittanbieter-Modulen für Drupal

Die Überprüfung von Drittanbieter-Modulen für das CMS Drupal durch das Drupal-Sicherheitsteam geht weiter. Allein in den letzten zwei Tagen wurden 11 weitere Security Advisories veröffentlicht.

Darunter befinden sich Anweisungen für kritische, nicht kritische und hochgradig kritische Lücken, Access Bypass Probleme, Cross Site Scripting Möglichkeiten und mehr.

Hier eine Liste:

• SA-CONTRIB-2010-049 - Wordpress Import - Access bypass (hochkritisch)
• SA-CONTRIB-2010-059: Panels - Arbitrary PHP code execution (kritisch)
• SA-CONTRIB-2010-058: Chaos tool suite - Multiple vulnerabilities (kritisch)
• SA-CONTRIB-2010-054 - Storm - Cross Site Scripting (XSS) (kritisch)
• SA-CONTRIB-2010-053 - External Link Page - Cross Site Scripting (XSS) (kritisch)
• SA-CONTRIB-2010-052 - Multiple vulnerabilities in multiple contributed modules (kritisch), darunter
  • Privatemsg
  • Weather Underground
  • Tellafriend
  • Menu Block Split
  • osCommerce
  • Download Count
  • Comment Page
  • False Account Detector
  • User Queue
• SA-CONTRIB-2010-051 - Heartbeat - Cross Site Scripting (kritisch)
• SA-CONTRIB-2010-057 - Rotor Banner - Cross Site Scripting (XSS) (weniger kritisch)
• SA-CONTRIB-2010-056 - User Queue - Cross Site Request Forgery (weniger kritisch)
• SA-CONTRIB-2010-055 - Simplenews - Access bypass (weniger kritisch)
• SA-CONTRIB-2010-050 - CAPTCHA - Cross Site Scripting (nicht kritisch)

Weiterführende Information zu den einzelnen Sicherheitslücken finden Sie auf Englisch beim Drupal-Projekt unter "Security advisories for contributed projects".