Abo
  • Services:
Anzeige
Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Security: Mehrere Sicherheitslücken in Drupal entdeckt

Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.

Schwachstellen, die Cross-Site-Scripting ermöglichen, eine fehlerhafte .htaccess-Konfiguration und der Einsatz eines schwachen Pseudozufallsgenerators: Die Liste der sicherheitsrelevanten Fehler in dem CMS Drupal in Versionen 6 und 7 ist lang. Inzwischen haben dessen Entwickler Updates bereitgestellt, die unbedingt eingespielt werden sollten.

Anzeige

Die gravierendste Schwachstelle dürfte die Verwendung des Pseudozufallsgenerators Mersenne-Twister sein, der vom Aufruf mt_rand() für die Generierung von zufälligen Passwörtern verwendet wird. Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Löcherige Dateisperre

Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Weitere Sicherheitslücken ermöglichen Cross-Site-Request-Forgery und Cross-Site-Scripting unter anderem in dem Formular-Validierungs-API und in den Modulen Image sowie Color und eine Open-Redirect-Schwachstelle im Modul Overlay.

Die Updates tragen die Versionsnummern 6.29 und 7.24 und sind von der Webseite des Projekts erhältlich.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Bosch SoftTec GmbH, Hildesheim
  2. Robert Bosch Packaging Technology GmbH, Crailsheim
  3. Heraeus infosystems GmbH, Hanau
  4. über duerenhoff GmbH, Nürtingen


Anzeige
Top-Angebote
  1. zusammen nur 3,99€
  2. 699,00€
  3. 37,49€

Folgen Sie uns
       


  1. VBB Fahrcard

    E-Ticket-Kontrolle am Prüfgerät wird in Berlin zur Pflicht

  2. Glasfaser

    M-net schließt weitere 75.000 Haushalte an

  3. Pwned Passwords

    Troy Hunt veröffentlicht eine halbe Milliarde Passworthashes

  4. Smach Z

    PC-Handheld nutzt Ryzen V1000

  5. Staatstrojaner und Quick-Freeze

    Österreich verschärft frühere Überwachungspläne

  6. Allensbach-Studie

    Altersvorsorge selbständiger IT-Experten ist sehr solide

  7. Maschinelles Lernen

    Biometrisches Captcha nutzt Sprache und Bild

  8. Gigabit

    Swisscom führt neue Mobilfunkgeneration 5G schon 2018 ein

  9. Bpfilter

    Linux-Kernel könnte weitere Firewall-Technik bekommen

  10. Media Broadcast

    Freenet TV kommt auch über Satellit



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Entdeckertour angespielt: Assassin's Creed Origins und die Spur der Geschichte
Entdeckertour angespielt
Assassin's Creed Origins und die Spur der Geschichte
  1. Assassin's Creed Denuvo und VM Protect bei Origins ausgehebelt
  2. Sea of Thieves angespielt Zwischen bärbeißig und böse
  3. Rogue Remastered Assassin's Creed segelt noch mal zum Nordpol

Axel Voss: "Das Leistungsschutzrecht ist nicht die beste Idee"
Axel Voss
"Das Leistungsschutzrecht ist nicht die beste Idee"
  1. EU-Urheberrechtsreform Kompromissvorschlag hält an Uploadfiltern fest
  2. Leistungsschutzrecht EU-Ratspräsidentschaft schlägt deutsches Modell vor
  3. Fake News Murdoch fordert von Facebook Sendegebühr für Medien

Sam's Journey im Test: Ein Kaufgrund für den C64
Sam's Journey im Test
Ein Kaufgrund für den C64
  1. THEC64 Mini C64-Emulator erscheint am 29. März in Deutschland
  2. Sam's Journey Neues Kaufspiel für C64 veröffentlicht

  1. Re: Es wird Zeit für WC4

    ArcherV | 18:15

  2. Re: An alle Schreihälse die meinen gucken reicht

    a user | 18:10

  3. Re: Solide - Naja

    Thomas Müller | 18:09

  4. Re: Kein Blödsinn

    tingelchen | 18:06

  5. Re: Was hier oft verwechselt wird!

    WallyPet | 18:03


  1. 18:21

  2. 18:09

  3. 18:00

  4. 17:45

  5. 17:37

  6. 17:02

  7. 16:25

  8. 16:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel