Updates für CMS Drupal beheben Schwachstellen

Die Entwickler des Open-Source Content-Management-Systems Drupal haben in zwei neuen Versionen eine Cross-Site-Scripting- und eine DoS-Lücke beseitigt. Unter Umständen konnte ein Angreifer dies für administrativen Zugriff auf den Server ausnutzen und den Seiten-Cache von Drupal manipulieren, sodass Besucher beim Aufruf von Seiten nur noch ein "404 page not found" zu sehen bekamen. Drupal-Installationen mit deaktiviertem Cache waren von letzterem Problem nicht betroffen. Zudem funktionierte der Cache-Poisoning-Angriff laut Fehlerbericht nur, wenn als Datenbank MySQL zugrunde lag. Darüber hinaus wurden weitere nicht sicherheitselevante Fehler behoben.

Siehe dazu auch:

• Drupal 4.7.5 and 4.6.11 released, Ankündigung auf Drupal.org

(dab)