Content Management in der Praxis

Drupal: Sicherheitslücken in Drittanbietermodulen

Anfang Februar sind einige Sicherheitslücken in Drittanbietermodulen für das CMS Drupal veröffentlicht worden. Diese werden hier mal zusammengefasst.

  1. Kritische Sicherheitslücke im AES-Verschlüsselungsmodul
    Durch ein Stückchen Code zum Debuggen, das irrtümich im Code belassen wurde, werden Passwort und Benutzername des zuletzt eingloggten Nutzers im Klartext in eine Textdatei geschrieben. Diese ist von aussen erreichbar.
    DRUPAL-SA-CONTRIB-2011-005, kritisch
     
  2. XSS-/XSRF-Lücke in Modul Chatroom
    Wenn Inhalte aus dem Modul Chatroom auf Webseiten angezeigt werden, werden diese nicht ausreichend überprüft. Dies führt zu einer Cross-Site-Scripting, bzw. Cross-Site-Request-Forgery-Lücke
    DRUPAL-SA-CONTRIB-2011-008, moderat
     
  3. Kritische Lücke für SQL-Injections in Modul Droptor
    Droptor verbindet Dupal-Site mit Droptor.com, einer Drupal Monitoring- und Management-Lösung
    Beim Auslesen von Memory-Logs übergebene Variablen werden nicht ausreichend überprüft, was SQL-Injections möglich macht. Allerdings tritt diese Lücke nur auf, wenn Memory-Monitoring aktiviert ist, was nicht per Default der Fall ist.
    DRUPAL-SA-CONTRIB-2011-009, kritisch
     
  4. Moderate XSS-Lücke in Userpoints
    Das Modul Userpoints ermöglicht es, Nutzern für bestimmte Aktionen Punkte zu geben. Eine unzureichende Prüfung von Variablen ermöglicht hier Cross-Site-Scripting. Allerdings muss der Angreifer dafür die Berechtigung "administer userpoints" haben.
    DRUPAL-SA-CONTRIB-2011-007, moderat
     
  5. XSS-Lücke in Flag page
    Mit Flag page können weitere "Flags" zu Seiten hinzugefügt werden. Die Titel dieser Flags werden nicht gründlich genug überprüft, was zu einer XSS-Lücke führen kann.
    DRUPAL-SA-CONTRIB-2011-006, moderat
     
  6. Zusammenfassendes SecurityAdvisory für drei weitere Module
    ein weiteres Security Advisory beschreibt Sicherheitslücken in den Modulen "Open Legislation", "OG Forum" und "PowerSQL"
    DRUPAL-SA-CONTRIB-2011-004, moderat
Share

Buchempfehlungen

Abbildung des Buchcovers 'Drupal 6: Websites individuell entwickeln und verwalten'.

Drupal 6: Websites individuell entwickeln und verwalten
Daniel Koch
'Drupal 6: Websites individuell entwickeln und verwalten' bei Amazon.de bestellen

Abbildung des Buchcovers 'Pro Drupal Development (Expert's Voice in Open Source)'.

Pro Drupal Development (Expert's Voice in Open Source) (Englisch)
John K. Vandyk, Dries Buytaert
'Pro Drupal Development' bei Amazon.de bestellen

Abbildung des Buchcovers 'Using Drupal'.

Using Drupal (Englisch)
Jeff Robbins, Angela Byron, Addison Berry, Nathan Haug
'Using Drupal' bei Amazon.de bestellen

weitere Fachbücher

cm4u.net auf Facebook