Sicherheitslücken: Arbeit für Drupal-Admins
Mit zwei Sammel-Updates haben die Entwickler des Content Management Systems Drupal eine ganze Reihe von Lücken in der Software gestopft. Unter anderem nutzt Drupal nun einen Pseudo-Zufallszahlen-Generator, der für Krypto-Funktionen geeignet ist.
- Fabian A. Scherschel
Sophos warnt vor einer Reihe von Sicherheitsproblemen im Content Management System (CMS) Drupal, welche unter anderem den Zufallszahlen-Generator der Software betreffen. Die Entwickler hatten die PHP-Funktion mt_rand() benutzt, um Zufallszahlen für die Krypto-Module des CMS zu erzeugen. Der dabei zum Einsatz kommende Zufallszahlen-Generator ist für kryptografische Zwecke allerdings ungeeignet, seine Seeds lassen sich in weniger als einer Minute knacken. Viele der Probleme betreffen beide der aktuell gepflegten Release-Serien Drupal 6 und 7. Die Lücken wurden von den Entwicklern bereits mit zwei Updates geschlossen.
Die von den Entwicklern veröffentlichten Updates benutzen nun die Funktion drupal_random_bytes() – diese versucht Zufallszahlen zuerst mit Hilfe der OpenSSL-Bibliotheken oder des Entropie-Vorrats von Unix-Systemen (/dev/random) zu erzeugen, bevor sie mt_rand() bemüht. Diese PHP-Funktion benutzt den Zufallszahlen-Generator Mersenne Twister; der ist zwar für die meisten Anwendungen sehr verlässlich, wird aber von seinen Entwicklern explizit nicht für kryptografische Einsatzgebiete empfohlen. Da das von der Funktion verwendete Seed nur 32 Bit lang ist, kann ein Angreifer diesen aus den resultierenden Zahlen in kurzer Zeit ermitteln und damit die folgenden Zufallszahlen vorhersagen.
Die Sicherheitsmeldung der Drupal-Entwickler (SA-CORE-2013-003) enthält neben dem unsicheren Zufallsgenerator auch Lücken, die für Cross-Site-Request-Forgery und Cross-Site-Scripting missbraucht werden können. Darüber hinaus haben die Entwickler den Schutz der Verzeichnisse verbessert, die standardmäßig zum Hochladen von Dateien verwendet werden. Drupal legt hier eine .htaccess-Datei an, die es Angreifern erschweren soll, hochgeladenen Schadcode auszuführen. Angreifer konnten diesen Schutz in früheren Versionen von Drupal ausmanövrieren.
Die beiden Sammel-Updates wurden von den Entwicklern als Versionen Drupal 7.24 und 6.29 veröffentlicht. Diese können von der Download-Seite des Open-Source-Projektes heruntergeladen werden. In Hinsicht auf den verbesserten Zufallszahlen-Generator empfiehlt Sophos allen Drupal-Nutzern, so schnell wie möglich diese Updates einzuspielen.
Zur selben Zeit haben die Entwickler auch einige Schwachstellen in Drupal-Modulen von Drittentwicklern (Contrib) behoben; diese Updates müssen nur eingespielt werden, wenn das entsprechende Modul auch genutzt wird. (fab)
