Sicherheits-Update für Drupal
Die Entwickler des Content-Management-Systems Drupal haben die Versionen 5.17 und 6.11 veröffentlicht, in der eine Cross-Site-Scripting- und eine Cross-Site-Request-Forgery-Schwachstelle geschlossen ist.
- Daniel Bachfeld
Die Entwickler des Content-Management-Systems Drupal haben die Versionen 5.17 und 6.11 veröffentlicht, in der eine Cross-Site-Scripting-Schwachstelle geschlossen ist. Sie lässt sich aber nur ausnutzen, wenn etwa ein Browser UTF-8-kodierte Zeichen als UTF-7-kodiert interpretiert. Laut Bericht soll dies beim Internet Explorer 6 und 7 in bestimmten Fällen passieren.
Darüber hinaus beheben die neuen Versionen einen Fehler, der sich für Cross-Site-Request-Forgery-Angriffe missbrauch lässt. Alternativ zu den Update stehen auch Patches bereit. Des Weiteren haben die Entwickler mehrere Berichte zu Schwachstellen in Erweiterungsmodulen anderer Hersteller veröffentlicht.
Siehe dazu auch:
- Drupal core - Cross site scripting
- Fivestar - Cross-site request forgery
- Node Access User Reference - Access Bypass
- News Page - SQL injection
- Exif - Cross Site Scripting
(dab)