Abo
  • Services:

Security: Mehrere Sicherheitslücken in Drupal entdeckt

Zwei Updates schließen mehrere Sicherheitslücken im populären CMS Drupal 6 und 7. Betroffen ist etwa der Pseudozufallszahlengenerator, der unter anderem von OpenID genutzt wird. Die Updates sollten unbedingt eingespielt werden.

Artikel veröffentlicht am ,
Drupal 6 und 7 haben zahlreiche Schwachstellen.
Drupal 6 und 7 haben zahlreiche Schwachstellen. (Bild: Drupal)

Schwachstellen, die Cross-Site-Scripting ermöglichen, eine fehlerhafte .htaccess-Konfiguration und der Einsatz eines schwachen Pseudozufallsgenerators: Die Liste der sicherheitsrelevanten Fehler in dem CMS Drupal in Versionen 6 und 7 ist lang. Inzwischen haben dessen Entwickler Updates bereitgestellt, die unbedingt eingespielt werden sollten.

Stellenmarkt
  1. Lidl Digital, Leingarten, Berlin
  2. Burgmaier Technologies GmbH + Co KG, Allmendingen

Die gravierendste Schwachstelle dürfte die Verwendung des Pseudozufallsgenerators Mersenne-Twister sein, der vom Aufruf mt_rand() für die Generierung von zufälligen Passwörtern verwendet wird. Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Löcherige Dateisperre

Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Weitere Sicherheitslücken ermöglichen Cross-Site-Request-Forgery und Cross-Site-Scripting unter anderem in dem Formular-Validierungs-API und in den Modulen Image sowie Color und eine Open-Redirect-Schwachstelle im Modul Overlay.

Die Updates tragen die Versionsnummern 6.29 und 7.24 und sind von der Webseite des Projekts erhältlich.



Anzeige
Hardware-Angebote
  1. (Neuware für kurze Zeit zum Sonderpreis bei Mindfactory)
  2. 915€ + Versand
  3. 194,90€ + Versand mit Gutschein: RYZEN20 (Bestpreis!)

Folgen Sie uns
       


Battlefield 5 Open Beta - Golem.de live

Ein Squad voller Golems philosophiert über Raytracing, PC-Konfigurationen und alles, was noch nicht so funktioniert, im Livestream zur Battlefield 5 Open Beta.

Battlefield 5 Open Beta - Golem.de live Video aufrufen
Red Dead Redemption 2 angespielt: Mit dem Trigger im Wilden Westen eintauchen
Red Dead Redemption 2 angespielt
Mit dem Trigger im Wilden Westen eintauchen

Überfälle und Schießereien, Pferde und Revolver - vor allem aber sehr viel Interaktion: Das Anspielen von Red Dead Redemption 2 hat uns erstaunlich tief in die Westernwelt versetzt. Aber auch bei Grafik und Sound konnte das nächste Programm von Rockstar Games schon Punkte sammeln.
Von Peter Steinlechner

  1. Red Dead Redemption 2 Von Bärten, Pferden und viel zu warmer Kleidung
  2. Rockstar Games Red Dead Online startet im November als Beta
  3. Rockstar Games Neuer Trailer zeigt Gameplay von Red Dead Redemption 2

Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Retrogaming: Maximal unnötige Minis
    Retrogaming
    Maximal unnötige Minis

    Nanu, die haben wir doch schon mal weggeschmissen - und jetzt sollen wir 100 Euro dafür ausgeben? Mit Minikonsolen fahren Anbieter wie Sony und Nintendo vermutlich hohe Gewinne ein, dabei gäbe es eine für alle bessere Alternative: Software statt Hardware.
    Ein IMHO von Peter Steinlechner

    1. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
    2. Sicherheit Ein Lob für Twitter und Github
    3. Linux Mit Ignoranz gegen die GPL

      •  /