Sicherheits-Update für CMS Drupal

In den Versionen 4.7.6 und 5.1 des Content-Management-Systems Drupal wurde eine kritische Sicherheitslücke geschlossen, mit der es nach Angaben der Entwickler möglich gewesen ist, einen Server unter seine Kontrolle zu bekommen. Der Fehler steckt in der Vorschau von Kommentaren, die nicht mit den üblichen Form-Validierungsfunktionen verarbeitet werden. Darüber kann ein Angreifer eigenen Code ausführen. Der Fehler lässt sich allerdings nur von Anwendern respektive Angreifern ausnutzen, die einen Kommentar eingeben dürfen und Zugriff auf mehrere Input-Filter haben. Standardmäßig haben Nutzer nur Zugriff auf einen Filter. Als Workaround empfehlen die Entwickler, das Kommentar-Modul abzuschalten oder allen Nutzern das Kommentar-Recht zu entziehen.

Siehe dazu auch:

• Drupal core – Arbitrary code execution Fehlerbericht von Drupal.org

(dab)