Abo
  • Services:
Anzeige
Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Security Mehrere Sicherheitslücken in Drupal entdeckt

Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.

Anzeige

Schwachstellen, die Cross-Site-Scripting ermöglichen, eine fehlerhafte .htaccess-Konfiguration und der Einsatz eines schwachen Pseudozufallsgenerators: Die Liste der sicherheitsrelevanten Fehler in dem CMS Drupal in Versionen 6 und 7 ist lang. Inzwischen haben dessen Entwickler Updates bereitgestellt, die unbedingt eingespielt werden sollten.

Die gravierendste Schwachstelle dürfte die Verwendung des Pseudozufallsgenerators Mersenne-Twister sein, der vom Aufruf mt_rand() für die Generierung von zufälligen Passwörtern verwendet wird. Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Löcherige Dateisperre

Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Weitere Sicherheitslücken ermöglichen Cross-Site-Request-Forgery und Cross-Site-Scripting unter anderem in dem Formular-Validierungs-API und in den Modulen Image sowie Color und eine Open-Redirect-Schwachstelle im Modul Overlay.

Die Updates tragen die Versionsnummern 6.29 und 7.24 und sind von der Webseite des Projekts erhältlich.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Daimler AG, Stuttgart
  2. Dürr IT Service GmbH, Bietigheim-Bissingen
  3. LR Health & Beauty Systems GmbH, Ahlen
  4. Ingentis Softwareentwicklung GmbH, Nürnberg


Anzeige
Hardware-Angebote
  1. 199,99€ statt 479,99€ - Ersparnis rund 58%
  2. (u. a. DXRacer OH/RE9/NW für 199,90€ statt 226€ im Preisvergleich)
  3. ab 14,99€

Folgen Sie uns
       


  1. Chipmaschinenausrüster

    ASML demonstriert 250-Watt-EUV-System

  2. Linux-Distribution

    Opensuse Leap 42.3 baut Langzeitpflege aus

  3. Soziales Netzwerk

    Facebook soll an Smart-Speaker mit Display arbeiten

  4. Kumu Networks

    Vollduplex-WLAN auf gleicher Frequenz soll noch 2018 kommen

  5. IT-Dienstleister

    Daten von 400.000 Unicredit-Kunden kompromittiert

  6. Terrorismusbekämpfung

    Fluggastdatenabkommen mit Kanada darf nicht in Kraft treten

  7. Makeblock Airblock im Test

    Es regnet Drohnenmodule

  8. Tri Alpha Energy

    Google entwickelt Algorithmus für die Fusionsforschung

  9. Schnittstelle

    USB 3.2 verdoppelt Datenrate auf 20 GBit/s

  10. Mobilfunk

    Telefónica O2 macht Verlust und weniger Umsatz



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Ikea Trådfri im Test: Drahtlos (und sicher) auf Schwedisch
Ikea Trådfri im Test
Drahtlos (und sicher) auf Schwedisch
  1. Die Woche im Video Kündigungen, Kernaussagen und KI-Fahrer
  2. Augmented Reality Ikea will mit iOS 11 Wohnungen virtuell einrichten
  3. Space10 Ikea-Forschungslab untersucht Umgang mit KI

Microsoft Surface Pro im Test: Dieses Tablet kann lange
Microsoft Surface Pro im Test
Dieses Tablet kann lange
  1. Microsoft Neues Surface Pro fährt sich ohne Grund selbst herunter
  2. iFixit-Teardown Surface Laptop ist fast nicht reparabel
  3. Surface Studio Microsofts Grafikerstation kommt nach Deutschland

Indiegames Rundschau: Meisterdiebe, Anti- und Arcadehelden
Indiegames Rundschau
Meisterdiebe, Anti- und Arcadehelden
  1. Jump So was wie Netflix für Indiegames
  2. Indiegames-Rundschau Weltraumabenteuer und Strandurlaub
  3. Indiegames-Rundschau Familienflüche, Albträume und Nostalgie

  1. Re: Mal wirklich eine nette Idee?

    xxsblack | 14:30

  2. Re: Mieseste Netz, schlechtester Kundenservice

    ckerazor | 14:29

  3. Re: Kohle, Mineralöl und Co. bald auf magische...

    Sebbi | 14:29

  4. Re: für mich geht nix über mumbi

    der_wahre_hannes | 14:27

  5. Re: Namensgebung sollte geändert werden

    Default_User | 14:20


  1. 14:15

  2. 14:00

  3. 13:51

  4. 13:34

  5. 12:48

  6. 12:30

  7. 12:03

  8. 12:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel