Abo
  • Services:
Anzeige
Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Security Mehrere Sicherheitslücken in Drupal entdeckt

Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.

Anzeige

Schwachstellen, die Cross-Site-Scripting ermöglichen, eine fehlerhafte .htaccess-Konfiguration und der Einsatz eines schwachen Pseudozufallsgenerators: Die Liste der sicherheitsrelevanten Fehler in dem CMS Drupal in Versionen 6 und 7 ist lang. Inzwischen haben dessen Entwickler Updates bereitgestellt, die unbedingt eingespielt werden sollten.

Die gravierendste Schwachstelle dürfte die Verwendung des Pseudozufallsgenerators Mersenne-Twister sein, der vom Aufruf mt_rand() für die Generierung von zufälligen Passwörtern verwendet wird. Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Löcherige Dateisperre

Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Weitere Sicherheitslücken ermöglichen Cross-Site-Request-Forgery und Cross-Site-Scripting unter anderem in dem Formular-Validierungs-API und in den Modulen Image sowie Color und eine Open-Redirect-Schwachstelle im Modul Overlay.

Die Updates tragen die Versionsnummern 6.29 und 7.24 und sind von der Webseite des Projekts erhältlich.


eye home zur Startseite



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Experis GmbH, Berlin
  3. Winkelmann Group GmbH + Co. KG, Ahlen
  4. LEDVANCE GmbH, Garching bei München


Anzeige
Top-Angebote
  1. 169,00€ (Vergleichspreis 214€)
  2. 3,36€ (Amazon Plus Produkt: Mindesteinkauf 20€)
  3. 485,00€ (Vergleichspreis 529€)

Folgen Sie uns
       


  1. Wemo

    Belkin erweitert Smart-Home-System um Homekit-Bridge

  2. Digital Paper DPT-RP1

    Sonys neuer E-Paper-Notizblock wird 700 US-Dollar kosten

  3. USB Typ C Alternate Mode

    Thunderbolt-3-Docks von Belkin und Elgato ab Juni

  4. Sphero Lightning McQueen

    Erst macht es Brummbrumm, dann verdreht es die Augen

  5. VLC, Kodi, Popcorn Time

    Mediaplayer können über Untertitel gehackt werden

  6. Engine

    Unity bekommt 400 Millionen US-Dollar Investorengeld

  7. Neuauflage

    Neues Nokia 3310 soll bei Defekt komplett ersetzt werden

  8. Surface Studio

    Microsofts Grafikerstation kommt nach Deutschland

  9. Polar

    Fitnesstracker A370 mit Tiefschlaf- und Pulsmessung

  10. Schutz

    Amazon rechtfertigt Sperrungen von Marketplace-Händlern



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Quantencomputer: Nano-Kühlung für Qubits
Quantencomputer
Nano-Kühlung für Qubits
  1. IBM Q Mehr Qubits von IBM
  2. Quantencomputer Was sind diese Qubits?
  3. Verschlüsselung Kryptographie im Quantenzeitalter

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

  1. Re: 1400W... für welche Hardware?

    Stefres | 20:07

  2. Re: wie hätte sich auch was verbessern sollen?

    Andre_af | 19:57

  3. Re: Unix, das Betriebssystem von Entwicklern, für...

    Dadie | 19:47

  4. Re: Marketing scheint bei Unity ein besonders...

    Squirrelchen | 19:46

  5. Re: Gutes Konzept... schrottiges OS, und dann 4000¤

    Friedhelm | 19:41


  1. 18:10

  2. 10:10

  3. 09:59

  4. 09:00

  5. 18:58

  6. 18:20

  7. 17:59

  8. 17:44


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel