Sicherheits-Updates für Drupal-Module
Die Drupal-Module Email Input Filter, Keys und Tag Order enthalten Sicherheitslücken, die man durch ein Update beseitigen sollte. Zumindest Ersteres ist kritisch, da darüber ein Einbruch in den Server möglich wird.
Das Drupal-Team hat gleich einen ganzen Schwung von Sicherheitsnotizen herausgebracht. Die Drupal-Module Email Input Filter, Keys und Tag Order enthalten Sicherheitslücken, die in aktualisierten Versionen behoben wurden. Betroffen sind bei Email Input Filter und Tag Order die Versionen für Drupal 5 und 6, bei Keys nur die 6er.
Als kritisch stuft das Drupal-Sicherheitsteam die Lücke im Email Input Filter ein, da sich darüber Code auf dem Server einschleusen und ausführen lässt. Betroffene Adminstratoren sollten schnellstmöglich auf die Version 6.x-1.1 aktualisieren. Die Lücken in den Modulen Tag Order und Keys ermöglichen Cross Site Scripting beziehungsweise Cross Site Request Forgery, sodass sich die Angriffe nicht gegen den Server, sondern dessen Benutzer wenden. Somit sollte man auch diese Schwachstellen beseitigen.
Siehe dazu auch
- Email Input Filter – Arbitrary code execution, Sicherheitsnotiz des Drupal-Teams
- Tag Order – Cross Site Scripting, Sicherheitsnotiz des Drupal-Teams
- Keys – Cross-Site Request Forgery, Sicherheitsnotiz des Drupal-Teams
(ju)
