Sicherheits-Updates für Drupal
Die Entwickler des Content Management Systems haben die Versionen 5.20 und 6.14 zum Download bereitgestellt, in denen vier Schwachstellen beseitigt sind.
- Daniel Bachfeld
Die Entwickler des Content Management Systems Drupal haben die Versionen 5.20 und 6.14 zum Download bereitgestellt, in denen vier Schwachstellen beseitigt sind. Dazu gehören eine Cross-Site-Request-Forgery-Schwachstelle, durch die Angreifer eine eigene OpenID-Identität zu einem bestehenden Drupal-Konto hinzufügen und im Anschluss darauf zugreifen können. Dazu muss das Opfer aber in Drupal eingeloggt sein und zusätzlich eine bösartige Webseite aufrufen. Ein weiterer Fehler in der OpenID-Implementierung ermöglicht darüber hinaus den Zugriff eines Nutzers auf das Konto eines anderen Nutzers, wenn beide den gleichen OpenID-2.0-Provider nutzen.
Des Weiteren lassen sich durch einen Fehler in der File-API von Apache ausführbare Dateien auf den Server hochladen. Dazu muss der Server aber nach Angaben so konfiguriert sein, dass er die Einstellungen der Datei .htaccess im Upload-Verzeichnis ignoriert. In welchen Fällen dies vorkommt, erläutert der Bericht nicht. Zudem beseitigt das Update für die Version 5.x eine Session-Fixation-Lücke, durch die ein Angreifer die Sitzung eines Anwenders übernehmen kann.
Zusammengefasst stufen die Entwickler die Lücken als kritisch ein und empfehlen ein baldiges Update. Anwender sollten die Updates-Notes vor der Aktualisierung beachten. Zusätzlich stehen Patches bereit.
Siehe dazu auch:
- SA-CORE-2009-008 - Drupal core - Multiple vulnerabilities, Bericht der Entwickler
(dab)