Content Management in der Praxis

Kritische Sicherheitslücken im CMS Drupal

Cross-Site-Scripting über das Farbmodul und über den Error Handler, Access Bypass über das File Modul: Das CMS Drupal hat kritische Sicherheitslücken im Systemkern, die von Administratoren schnell gestopft werden sollten.

So ist es im Kern von Version 6.x möglich, über die PHP-Fehlermeldungen und eine spezielle URL bösartige Skripte einzuschleusen. Diese Lücke kann durch das Abschalten von Fehlermeldungen (error_reporting) abgeschaltet werden, was ohnehin die empfohlene Einstellung für Seiten im Produktiveinsatz ist.

Weiterhin wurde in Drupal 6.x und 7.x eine Lücke im Color Modul gefunden. Hier wird bei Themes, bei denen die Farben geändert werden können, die Eingabe von Farbwerten nicht gesäubert, sodass Skriptcode eingeschleust werden kann. Dazu braucht es zwar das Recht, Themes zu administrieren, eine Lücke bleibt es dennoch.

In Drupal 7.x findet sich zudem eine Lücke im File Modul, die unter bestimmten Umständen den Zugriff auf private Dateien zulässt, ohne die Zugriffsberechtigung zu prüfen.

Alle drei Lücken können durch bereits zur Verfügung stehende Updates geschlossen werden. Dafür stehen die Updates 7.2 bzw. 6.22 bereit.

Weitere Drupal-News

Share

Buchempfehlungen

Abbildung des Buchcovers 'Drupal 6: Websites individuell entwickeln und verwalten'.

Drupal 6: Websites individuell entwickeln und verwalten
Daniel Koch
'Drupal 6: Websites individuell entwickeln und verwalten' bei Amazon.de bestellen

Abbildung des Buchcovers 'Pro Drupal Development (Expert's Voice in Open Source)'.

Pro Drupal Development (Expert's Voice in Open Source) (Englisch)
John K. Vandyk, Dries Buytaert
'Pro Drupal Development' bei Amazon.de bestellen

Abbildung des Buchcovers 'Using Drupal'.

Using Drupal (Englisch)
Jeff Robbins, Angela Byron, Addison Berry, Nathan Haug
'Using Drupal' bei Amazon.de bestellen

weitere Fachbücher

cm4u.net auf Facebook