Vier Lücken im CMS Drupal beseitigt

Die Entwickler des Open-Source-Content-Management-Systems Drupal haben die Version 4.6.6 zum Download bereitgestellt, in der vier Sicherheitslücken geschlossen sind. Drei davon schätzen sie selbst als weniger kritisch ein, eine jedoch als "mittel". Da die Fehler auch in den anderen Drupal-Releases zu finden sind, haben sie zeitgleich die ebenfalls fehlerbereinigten Version 4.5.8 und 4.7.0-beta6 veröffentlicht. In jedem Fall empfehlen die Entwickler, die neueren Versionen so bald wie möglich zu installieren.

Unter anderem lassen sich Drupal-Sites aufgrund der Fehler durch das Einschleusen manipulierter Mail-Header als Spamschleuder missbrauchen. Obendrein erleichert ein fehlender Filter Cross-Site-Scripting-Attacken, durch die es möglich ist, in Nutzerkonten einzudringen. Durch manipulierte URLs kann ein Angreifer zudem die Identität eines Opfers annehmen. Nach dem Patch kann es auch nicht mehr passieren, dass nach dem Anlegen eines Menüpunkts per menu.module jedermann auf die Zielseite Zugriff hat.

Siehe dazu auch: (dab)

• Security announcements, auf Drupal.org