Sicherheitsupdate: SAML-Service-Provider-Modul gefährdet Drupal-Websites
Aufgrund einer kritischen Sicherheitslücke könnten Angreifer Zugangskontrollen von mit Drupal erstellten Websites umgehen.
(Bild: Artur Szczybylo/Shutterstock.com)
Wer eine Drupal-Website betreibt und Nutzern die Registrierung über das SAML-Service-Provider-Modul erlaubt, riskiert Angriffe auf seine Seite. Die Sicherheitslücke gilt als "kritisch". Eine abgesicherte Version steht zum Download bereit.
Wer das Modul für Drupal 8.x nutzt, sollte die reparierte Ausgabe SAML Service Provider 8.x-3.7 installieren. Gefährdet sind aber nur Website-Betreiber, die für ihre Seite die Registrierung über das Modul mit der abschließenden Bestätigung eines Admins nutzen. Das Problem ist jedoch, dass das Modul unter Umständen keine Admin-Bestätigung einfordert.
Wer SAML Service Provider nutzt, aber das Update nicht installieren kann, kann zum Schutz einfach die beschriebene Anmeldeform deaktivieren, führen die Entwickler in einer Warnmeldung aus. (des)
