Drupal-CMS: Fix für den Fix
Nach nicht einmal einer Woche legen die Drupal-Entwickler abermals neue Versionen des Content-Management-Systems nach, die eine vermeintlich bereits geschlossene und eine neue Lücke schließen sollen.
Die Entwickler des Content-Management-Systems Drupal legen abermals neue Versionen der Software nach, die eine Cross-Site-Scripting-Lücke (XSS) und ein vermeintlich schon vergangene Woche gestopftes Loch schließen sollen. Die XSS-Schwachstelle beim Aufrufen von so genannten Terms – Drupal-Terminologie für Kategorien – stufen die Entwickler als weniger kritisch ein, die zweite Lücke, die das Ausführen beliebigen Skript-Codes auf dem Server erlaubt, jedoch als hoch kritisch.
Die Cross-Site-Scripting-Schwachstelle beruht auf einer fehlenden Überprüfung des Seitentitels beim Aufruf von Kategorien. In der neuen CMS-Version rüsten die Entwickler einen passenden Check nach. Mit den Versionen 4.6.7 und 4.7.1 schlossen die Programmierer ein Sicherheitsloch, durch das Angreifer Skript-Code auf den Server hochladen und ausführen konnten, durch das Anlegen einer .htaccess-Konfigurationsdatei für Apache-Webserver. Jedoch griff diese Datei nicht in allen Apache-Konfigurationen, beispielsweise wenn das Setzen der FileInfo-Direktive in .htaccess-Dateien nicht erlaubt war. Die .htaccess-Regelwerke der neuen Version sollen nun auch in diesen Situationen funktionieren.
In den Sicherheitsmeldungen zu den Schwachstellen verlinken die Drupal-Entwickler nicht nur die neuen CMS-Versionen 4.6.8 und 4.7.2, sondern auch Patches gegen die kürzlich veröffentlichten Versionen 4.6.7 und 4.7.1. Aufgrund der Tragweite der Code-Injection-Lücke empfiehlt sich ein umgehendes Update.
Siehe dazu auch: (dmk)
- XSS Vulnerability in taxonomy module, Sicherheitsmeldung der Drupal-Entwickler
- Revision to DRUPAL-SA-2006-006, Sicherheitsmeldung der Drupal-Entwickler zur Code-Injection-Lücke
