Content Management in der Praxis

Kritische Sicherheitslücken im Drupal-Core

Im CMS Drupal wurden einige kritische Sicherheitslücken gefunden, die Cross-Site-Scripting und die Umgehung der Authentifizierung in bestimmten Modulen erlauben. Das gestern Abend veröffentlichte Security Advisory beschreibt die Lücken en detail.

So sind im Modul "OpenID" nicht alle vom OpenID-Protokoll 2.0 vorgeschriebenen Prüfungen implementiert. Dadurch kann ein Angreifer über das Modul Zugriff auf beliebige OpenID-Accounts erhalten. Diese Lücke betrifft nur den Core von Drupal 6.x, da bei 5.x OpenID noch Drittanbieter-Modul ist. (Hierfür gibt es ein eigenes Security Advisory.)

Eine weitere Lücke gibt es im Upload-Modul: fehlende Prüfung auf Groß-/Kleinschreibung, wodurch ein Angreifer ungeprüft Zugriff auf vorher unter gleichem Namen hochgeladene Dateien bekommt. (Drupal 5.x und 6.x)

Im Modul Comments gibt es eine Lücke, die es bestimmten Usern erlaubt, zuvor gesperrte Kommentare wieder zu veröffentlichen. (Drupal 5.x und 6.x)

"Actions" erlaubt es, Aktionen zu hinterlegen, die ausgeführt werden, wenn sich User registrieren. Die Beschreibungen und Nachrichten für diese Aktionen werden nicht ausreichend überprüft und gesäubert, so dass auf diese Art bösartiger Scriptcode oder HTML in die Seiten eingefügt werden kann. (Drupal 6.x)

Ein Update auf Drupal 6.18 oder 6.19 bzw. Drupal 5.23 schließt diese Lücken. Allerdings weisen die Entwickler nochmals darauf hin, dass mit dem Erscheinen von Drupal 7 die Version 5 nicht mehr unterstützt wird. Daher ist ein Upgrade auf Drupal 6 in jedem Fall sinnvoll.

Weitere Lücken in Drittanbieter-Modulen

Die Security Advisories SA-CONTRIB-2010-080 bis -88 beschreiben zudem weitere teilweise kritische Lücken in Drittanbietermodulen.