Drupal-Admins aufgepasst: Sicherheits-Update flickt 10 Lücken

Eine Lücke ist kritisch, sechs weitere werden von den Entwicklern als "moderat kritisch" eingeschätzt. Betroffen sind Drupal 7 und 8. Auch Drupal 6 wird ein letztes Mal gepatcht.

In Pocket speichern vorlesen Druckansicht 15 Kommentare lesen
Kritische Drupal-Lücken
Lesezeit: 1 Min.
Von
  • Fabian A. Scherschel

Für Administratoren von Webseiten, die das Content Management System (CMS) Drupal verwenden, ist es mal wieder Zeit, diese Software zu aktualisieren. Ein Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 schließt insgesamt 10 verschiedene Sicherheitslücken in der Core-Komponente des CMS (SA-CORE-2016-001). Eine der Lücken wurde als "kritisch" eingestuft, sechs sind mit der zweithöchsten Priorität "moderat kritisch" versehen.

Die Lücken gehen auf eine ganze Reihe verschiedene Bugs in der Software zurück. Diese reichen von Schwachstellen beim Upload von Dateien, über defekte APIs bis hin zu Lücken, die es Angreifern im Rahmen von Phishing-Attacken erlauben, Besucher der Seite auf bösartige Seiten ihrer Wahl weiterzuleiten. Bei der kritischen Lücke handelt es sich um einen Programmierfehler, der einem Nutzer in einem Webformular Knöpfe anzeigt, die dieser auf Grund seiner Nutzerrechte eigentlich nicht sehen dürfte. Das könnte Admin-Funktionen der Seite gegenüber unbefugten Nutzern zugänglich machen.

Administratoren, die noch Drupal 6 einsetzen, sollten auf Version 6.38 aktualisieren. Drupal-7-Admins sollten Version 7.43 herunterladen. Wer die neueste Drupal-Ausgabe verwendet, sollte sich Version 8.0.4 besorgen. Mit diesem Sicherheitsupdate hat Drupal 6 dann auch das Ende seines Support-Zyklus erreicht und wird ab sofort nicht mehr mit Updates versorgt. (fab)