Drupal-Lücken erlauben das Kapern von Admin-Konten
In Drupal 6 und 7 klaffen vier Sicherheitslücken. Die schwerwiegendste erlaubt es Angreifer, Admin-Konten des CMS über OpenID zu kapern. Updates, welche die Lücken schließen, stehen zum Download bereit.
- Fabian A. Scherschel
Die Drupal-Entwickler haben vier Sicherheitslücken in ihrem freien und quelloffenen CMS geschlossen. Die kritischste der Lücken erlaubt es Angreifern, sich über das OpenID-Modul Admin-Rechte für die Webseite zu verschaffen. Zwei weitere Lücken können missbraucht werden, um Besucher der Seite ohne ihr Wissen auf andere Webseiten umzuleiten – das kann für Phishing-Angriffe missbraucht werden. Die letzte Lücke im Bunde könnte unter Umständen dazu führen, dass einfache Nutzer der Seite Informationen zu Gesicht bekommen, die nur für begrenzte Nutzergruppen bestimmt sind.
Drei der Lücken betreffen nur Drupal 7, die OpenID-Schwachstelle kann allerdings auch mit Drupal 6 missbraucht werden. Bei beiden CMS-Versionen muss das Admin-Konto des Opfers allerdings eine OpenID-Identität bei bestimmten OpenID-Providern haben und mit der Drupal-Seite nutzen. Die Drupal-Entwickler nennen hier unter anderem Verisign, StackExchange und LiveJournal. Admins sollten ihre Installationen auf Drupal 7.38, beziehungsweise Drupal 6.36 aktualisieren, um die Lücken zu schließen. (fab)
