XSS-Lücke in Drupal-Modul beseitigt [Update]

Ein Fehler im Context-Modul ermöglichte es, beliebiges JavaScript im Browser eines Administrators auszuführen. Zwar ist das Modul nur als Release Candidate verfügbar, dennoch findet es breiten Einsatz.

In Pocket speichern vorlesen Druckansicht
Lesezeit: 1 Min.
Von
  • Daniel Bachfeld

Die Entwickler des Drupal -Moduls Context haben die Version 6.x-2.0-rc4 veröffentlicht, um eine Cross-Site-Scripting-Lücke in der Anzeige von Blockbeschreibungen zu beseitigen. [Update]Die Lücke lässt sich jedoch nur von Personen ausnutzen, die Rechte zum Administrieren der Blöcke besitzen und auf diese Weise JavaScript einbetten können. Wird das JavaScript im Browser eines angemeldeten Drupal-Admins ausgeführt, können Angreifer Zugriff auf das System erhalten.[/Update] Erst vor wenigen Woche führte eine "einfache" XSS-Lücke in einem Bugtracking-System im Weiteren zum Root-Zugriff auf Server der Apache Software Foundation; XSS-Lücken sind also durchaus ernstzunehmen.

Das Context-Modul ist zwar erst ein Release Candidate, allerdings wird es trotzdem bereits auf vielen Seiten produktiv eingesetzt – unter anderem auch vom Weißen Haus, dem Amtssitz des US-Präsidenten. Deren Modul "Context HTTP Headers" erfordert nämlich ebenfalls das Context-Modul. Weil des Modul noch den Status eines Release Candidate hat, haben die Drupal-Entwickler gemäß ihrer Sicherheits-Policy keine offizielle Warnung herausgegeben, obwohl sie sonst bei Modulen anderer Anbieter auf Lücken hinweisen.

Immerhin hatte Greg Knaddison, Mitglied des Drupal-Sicherheitsteam, in seinem eigenen Blog sicherheitshalber eine Liste mit Workarounds veröffentlicht, noch bevor die Context-Entwickler ihr Update bereit gestellt hatten.

Siehe dazu auch:

(dab)