Content Management in der Praxis

Hochkritische Sicherheitslücke in Drupals Lightbox2-Modul

Durch nicht exakt genug überprüfte User-Eingaben kann ein übelwollender Angreifer mittels Cross-Site-Scripting vollen administrativen Zugang zum System erlangen. Zusätzlich werden Felder bei "Embedded Media Field" und Acidfree Videos nicht genügend überprüft, sodasss direkter Zugriff auf die Backend-URL genommen werden kann, was es Eindringlingen erlaubt, Videos zu sehen, die er sonst nicht sehen dürfte.

Das Lightbox2 Modul ist ein Drittanbierter-Modul und nicht im Kern des CMS Drupal enthalten. Die Sicherheitslücken treten also nur dann auf, wenn das Modul installiert ist. Betroffen ist Lightbox2 in den Versionen bis einschließlich 6.x-1.9 bzw. 5.x-2.9. Abhilfe schafft ein sofortiges Update auf 6.x-1.10 für Drupal 6 bzw. 5.x-2.10 für Version 5 des CMS. Beide Updates können über die Website bezogen werden.

Weitere Sicherheitslücke in Drittanbierter-Module

Eine weitere, weniger kritische Sicherheitslücke wurde im Modul Domain Access gefunden. Dieses Modul erlaubt Content-Sharing über mehrere Domains mit einer Drupal-Installation. In einigen Fällen können User durch nicht vollständig gesäuberte Domaineingabe vollen Administrationszugriff auf die Domaineinstellungen im Submodul Domainkonfiguration erlangen. Allerdings muss der Nutzer das Recht haben, in Drupal registrierte Domains zu administrieren, um die Lücke vollständig auszunutzen.

Abhilfe schafft hier ein Upgrade auf 5.x-1.15, 6.x-2.6 bzw. 7.x-2.4, die direkt heruntergeladen werden können; alle vorherigen Versionen sind betroffen.

zurück zu Drupal-News