Sicherheits-Updates für mehrere Drupal-Erweiterungen
Die Drupal-Entwickler haben auf Sicherheitsprobleme mit mehreren Third-Party-Modulen hingewiesen. Unter anderem ist Cross-Site-Scripting und SQL-Injection möglich.
- Daniel Bachfeld
Die Entwickler des Content-Management-Systems Drupal haben auf Sicherheitsprobleme mit mehreren Third-Party-Modulen hingewiesen. Die Module sind Erweiterungen und nicht Bestandteil von Drupal, können aber von der Drupal-Seite bezogen werden.
Im Modul "Brilliant Gallery" ist beispielsweise eine SQL-Injection-Lücke zu finden, durch die sich laut Fehlerbericht sogar der Zugriff auf das Administrator-Konto erlangen lässt. Einen Patch gibt es nicht, die Empfehlung lautet, das Modul zu deinstallieren. Die Entwickler haben das Angebot bereits von der Seite drupal.org entfernt.
Auch das Modul "Ajax Checklist" weist eine SQL-Injection-Lücke auf, allerdings gibt es hierfür ein Update, das zudem eine XSS-Lücke aus der Welt schafft. Ein Update für den "Plugin Manager" nimmt Angreifern die Möglichkeit, unerlaubt andere Plug-ins zu deinstallieren und zu löschen. Zwar stufen die Drupal-Entwickler das Problem als kritisch ein, räumen aber ein, dass eine unsichere Drupal-Konfiguration Voraussetzung für einen erfolgreichen Angriff ist. Des Weiteren wurden die Module "Simple News" und "Stock" aktualisiert, um XSS-Lücken zu schließen.
Wie die jeweiligen Module zu aktualisieren respektive zu installieren sind, ist der jeweiligen Projektseite zu entnehmen. Siehe dazu auch:
- Security announcements, Liste der Fehlerberichte auf Drupal.org
(dab)
