Drupal-Update schiebt Session-Klau den Riegel vor
Die Entwickler des Open-Source CMS haben zwei Sicherheitslücken in Drupal 6 und 7 geschlossen. Die Schwachstellen können missbraucht werden, um Sessions angemeldeter Benutzer zu stehlen und um den Server lahmzulegen.
- Fabian A. Scherschel
Administratoren, die Webseiten mit Drupal betreiben, sollten ein Update einspielen, welches die Entwickler des Content Management Systems letzte Woche veröffentlicht haben (SA-CORE-2014-006). Das Update wird als "moderat kritisch" eingestuft und stopft zwei Sicherheitslücken – eine davon betrifft Drupal 7, die andere sowohl Drupal 6 als auch 7. Angreifbar sind alle Versionen, die älter als Drupal 6.34 beziehungsweise 7.34 sind.
Die schwerwiegendere Schwachstelle betrifft beide Versionen des CMS und kann zum Klau von Nutzer-Sessions verwendet werden. Durch einen speziellen Request kann der Angreifer eine zufällige Session eines anderen Nutzers übernehmen, inklusive dessen Benutzerrechten. Die Lücke, die nur in Drupal 7 auftritt, befindet sich in einer Passwort-Hashing-Funktion und kann dazu missbraucht werden, den Server durch CPU- und Speicherauslastung in die Knie zu zwingen. Angreifer brauchen dafür nicht bei Drupal angemeldet zu sein. (fab)
