Sicherheits-Update für Drupal

Die Entwickler des Content-Management-Systems Drupal haben die Versionen 5.17 und 6.11 veröffentlicht, in der eine Cross-Site-Scripting- und eine Cross-Site-Request-Forgery-Schwachstelle geschlossen ist.

30.04.2009, 12:31 Uhr

Lesezeit: 1 Min.

Security

Von

Daniel Bachfeld

Die Entwickler des Content-Management-Systems Drupal haben die Versionen 5.17 und 6.11 veröffentlicht, in der eine Cross-Site-Scripting-Schwachstelle geschlossen ist. Sie lässt sich aber nur ausnutzen, wenn etwa ein Browser UTF-8-kodierte Zeichen als UTF-7-kodiert interpretiert. Laut Bericht soll dies beim Internet Explorer 6 und 7 in bestimmten Fällen passieren.

Darüber hinaus beheben die neuen Versionen einen Fehler, der sich für Cross-Site-Request-Forgery-Angriffe missbrauch lässt. Alternativ zu den Update stehen auch Patches bereit. Des Weiteren haben die Entwickler mehrere Berichte zu Schwachstellen in Erweiterungsmodulen anderer Hersteller veröffentlicht.

Siehe dazu auch:

Drupal core - Cross site scripting
Fivestar - Cross-site request forgery
Node Access User Reference - Access Bypass
News Page - SQL injection
Exif - Cross Site Scripting

(dab)

${intro} ${title}

${intro} ${title}

Sicherheits-Update für Drupal

Spiele

Für alle unter 30: heise+ mit 50% Rabatt

Das digitale Abo für IT und Technik.