Abo
  • Services:
Anzeige
Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Security Mehrere Sicherheitslücken in Drupal entdeckt

Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.

Anzeige

Schwachstellen, die Cross-Site-Scripting ermöglichen, eine fehlerhafte .htaccess-Konfiguration und der Einsatz eines schwachen Pseudozufallsgenerators: Die Liste der sicherheitsrelevanten Fehler in dem CMS Drupal in Versionen 6 und 7 ist lang. Inzwischen haben dessen Entwickler Updates bereitgestellt, die unbedingt eingespielt werden sollten.

Die gravierendste Schwachstelle dürfte die Verwendung des Pseudozufallsgenerators Mersenne-Twister sein, der vom Aufruf mt_rand() für die Generierung von zufälligen Passwörtern verwendet wird. Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Löcherige Dateisperre

Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Weitere Sicherheitslücken ermöglichen Cross-Site-Request-Forgery und Cross-Site-Scripting unter anderem in dem Formular-Validierungs-API und in den Modulen Image sowie Color und eine Open-Redirect-Schwachstelle im Modul Overlay.

Die Updates tragen die Versionsnummern 6.29 und 7.24 und sind von der Webseite des Projekts erhältlich.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Media-Saturn IT-Services GmbH, Bayern
  2. Road Deutschland GmbH, Bretten bei Bruchsal
  3. über Hays AG, Baden-Württemberg
  4. DATAGROUP Inshore Services GmbH, Berlin, Leipzig, Rostock


Anzeige
Top-Angebote
  1. (u. a. X-Men Apocalypse, The Huntsman & The Ice Queen, Asterix erobert Rom, The Purge, Shutter...
  2. 99,00€
  3. (u. a. Better Call Saul 1. Staffel Blu-ray 12,97€, Breaking Bad letzte Staffel Blu-ray 9,97€)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  2. Kein Internet

    Nach Windows-Update weltweit Computer offline

  3. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  4. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  5. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  6. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  7. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  8. Redox OS

    Wer nicht rustet, rostet

  9. Star-Wars-Fanfilm

    Luke und Leia fliegen übers Wasser

  10. Sony

    Screen für Android Auto und Carplay kommt für 500 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Oculus Touch im Test: Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
Oculus Touch im Test
Tolle Tracking-Controller für begrenzte Roomscale-Erfahrung
  1. Microsoft Oculus Rift bekommt Kinomodus für Xbox One
  2. Gestensteuerung Oculus Touch erscheint im Dezember für 200 Euro
  3. Facebook Oculus zeigt drahtloses VR-Headset mit integriertem Tracking

Canon EOS 5D Mark IV im Test: Grundsolides Arbeitstier mit einer Portion Extravaganz
Canon EOS 5D Mark IV im Test
Grundsolides Arbeitstier mit einer Portion Extravaganz
  1. Video Youtube spielt Livestreams in 4K ab
  2. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  3. Canon EOS M5 Canons neue Systemkamera hat einen integrierten Sucher

Named Data Networking: NDN soll das Internet revolutionieren
Named Data Networking
NDN soll das Internet revolutionieren
  1. Geheime Überwachung Der Kanarienvogel von Riseup singt nicht mehr
  2. Bundesförderung Bundesländer lassen beim Breitbandausbau Milliarden liegen
  3. Internet Protocol Der Adresskollaps von IPv4 kann verzögert werden

  1. geHyptes Produkt - 99% der Leute können das nicht...

    Shrykull | 16:08

  2. Re: Echtes FTTH? Nein, es ist Vectoring!

    Ovaron | 16:07

  3. Re: Gibts wirklich nix von Telekom Drittanbieter...

    DooMMasteR | 16:06

  4. Problem bei mir schon länger

    lan | 16:05

  5. Kann doch mal vorkommen

    MrAnderson | 16:05


  1. 16:03

  2. 15:54

  3. 15:42

  4. 14:19

  5. 13:48

  6. 13:37

  7. 12:30

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel