Sicherheitsupdates für CMS Drupal
Das Project Issue Tracking Module für das Content-Management-System weist zwei Schwachstellen auf, die sich für Angriffe auf Anwender und den Server ausnutzen lassen.
Das Project Issue Tracking Module für das Content-Management-System Drupal weist zwei Schwachstellen auf, die sich für Angriffe auf Anwender ausnutzen lassen. So lassen sich laut Bericht der Entwickler beim Anlegen eines neuen "Issues" Dateien hochladen. Allerdings prüft das Modul offenbar nicht richtig, ob es sich um einen erlaubten Dateitypen handelt. Auf diese Weise ließe sich einem Benutzer JavaScript unterschieben und in dessen Browser ausführen.
Zudem wäre es möglich, eigene PHP-Skripte einzubinden und so den Server zu kompromittieren. Die Entwickler stufen das Problem als kritisch ein. Allerdings muss für einen erfolgreichen Angriff das "Core upload module" aktiviert sein, was aber etwa in der Version 5.x-2.x standardmäßig der Fall ist.
Darüber hinaus gibt es eine Cross-Site-Scripting-Schwachstelle in der Darstellung der Zusammenfassung von Issue-States in Drupal. Hier sind aber laut Bericht bestimmte, nicht näher beschrieben Editor-Rechte notwendig. Die Fehler sind in den Versionen 5.x-2.x-dev vor dem 30.1.2008, 5.x-1.2, 4.7.x-2.6, 4.7.x-1.6 und den jeweils vorhergehenden Versionen zu finden. Die Drupal-Entwickler empfehlen ein Update auf die Versionen 5.x-2.0, 5.x-1.3, 4.7.x-2.7 oder 4.7.x-1.7. Das Update erfordert zusätzlich Konfigurationsänderungen. Ein genaue Beschreibung dazu gibt es in den Original-Fehlerberichten.
Siehe dazu auch:
- Project issue tracking - Arbitrary file upload, Fehlerbericht auf Drupal.org
- Project issue tracking - XSS vulnerability in comment summary, Fehlerbericht auf Drupal.org
(dab)