Anzeige
Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Security Mehrere Sicherheitslücken in Drupal entdeckt

Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.

Anzeige

Schwachstellen, die Cross-Site-Scripting ermöglichen, eine fehlerhafte .htaccess-Konfiguration und der Einsatz eines schwachen Pseudozufallsgenerators: Die Liste der sicherheitsrelevanten Fehler in dem CMS Drupal in Versionen 6 und 7 ist lang. Inzwischen haben dessen Entwickler Updates bereitgestellt, die unbedingt eingespielt werden sollten.

Die gravierendste Schwachstelle dürfte die Verwendung des Pseudozufallsgenerators Mersenne-Twister sein, der vom Aufruf mt_rand() für die Generierung von zufälligen Passwörtern verwendet wird. Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Löcherige Dateisperre

Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Weitere Sicherheitslücken ermöglichen Cross-Site-Request-Forgery und Cross-Site-Scripting unter anderem in dem Formular-Validierungs-API und in den Modulen Image sowie Color und eine Open-Redirect-Schwachstelle im Modul Overlay.

Die Updates tragen die Versionsnummern 6.29 und 7.24 und sind von der Webseite des Projekts erhältlich.


eye home zur Startseite

Kommentieren



Anzeige

  1. Ingenieur, Informatiker, Mathematiker (m/w)
    DLR Deutsches Zentrum für Luft- und Raumfahrt e.V., Neustrelitz
  2. Sachbearbeiterin / Sachbearbeiter Energiedatenmanagement
    Stadtwerke Solingen GmbH, Solingen
  3. Projektleiter/in - Frontend, Backend
    Bosch Engineering GmbH, Abstatt
  4. Requirements Engineer Integrationsprojekte Insurance (m/w)
    Daimler AG, Stuttgart

Detailsuche



Anzeige
Blu-ray-Angebote
  1. 3 Blu-rays für 20 EUR
    (u. a. Die Maske, Die Goonies, Kiss Kiss Bang Bang, Batman: Under the Red Hood)
  2. TIPP: Der Hobbit: Die Schlacht der fünf Heere [3D Blu-ray]
    9,99€
  3. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€

Weitere Angebote


Folgen Sie uns
       


  1. Elektroauto

    Supersportwagen BMW i8 soll 400 km rein elektrisch fahren

  2. Keine externen Monitore mehr

    Apple schafft Thunderbolt-Display ersatzlos ab

  3. Browser

    Safari 10 soll auch auf älteren OS-X-Versionen laufen

  4. Dota

    Athleten müssen im E-Sport mehr als nur gut spielen

  5. Die Woche im Video

    Superschnelle Rechner, smarte Zähler und sicherer Spam

  6. Axanar

    Paramount/CBS erlaubt Star-Trek-Fanfilme

  7. FTTH/FTTB

    Oberirdische Glasfaser spart 85 Prozent der Kosten

  8. Botnet

    Necurs kommt zurück und bringt Locky millionenfach mit

  9. Google

    Livestreaming direkt aus der Youtube-App

  10. Autonome Autos

    Fahrer wollen vor allem ihr eigenes Leben schützen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Mighty No. 9 im Test: Mittelmaß für 4 Millionen US-Dollar
Mighty No. 9 im Test
Mittelmaß für 4 Millionen US-Dollar
  1. Mirror's Edge Catalyst im Test Rennen für die Freiheit
  2. Warp Shift im Test Zauberhaftes Kistenschieben
  3. Alienation im Test Mit zwei Analogsticks gegen viele Außerirdische

Schulunterricht: "Wir zocken die ganze Zeit Minecraft"
Schulunterricht
"Wir zocken die ganze Zeit Minecraft"
  1. MCreator für Arduino Mit Klötzchen LEDs steuern
  2. Lifeboat-Community Minecraft-Spieler müssen sich neues Passwort craften
  3. Minecraft Befehlsblöcke und Mods für die Pocket Edition

Mikko Hypponen: "Microsoft ist nicht mehr scheiße"
Mikko Hypponen
"Microsoft ist nicht mehr scheiße"

  1. Re: Ist der i8 eigentlich auch so ein Blechauto...

    David64Bit | 23:09

  2. Re: ich finde es widerlich ...

    jeckoBecko | 23:06

  3. Re: Wer kauft sich vor Monatsende eine neue...

    Konfuzius Peng | 22:58

  4. Re: Breaking News: GoG muss sich an die selben...

    narea | 22:57

  5. Re: Eigenheim - einfach nicht die Tür aufmachen?

    WonderGoal | 22:49


  1. 14:45

  2. 13:59

  3. 13:32

  4. 10:00

  5. 09:03

  6. 17:47

  7. 17:01

  8. 16:46


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel