ok-webhosting Forum
Kritische Sicherheitslücken in Drupal vor Version 6.14/5.20 - Druckversion

+- ok-webhosting Forum (https://forum.ok-webhosting.de)
+-- Forum: Allgemein (https://forum.ok-webhosting.de/forumdisplay.php?fid=3)
+--- Forum: Security (https://forum.ok-webhosting.de/forumdisplay.php?fid=10)
+--- Thema: Kritische Sicherheitslücken in Drupal vor Version 6.14/5.20 (/showthread.php?tid=338)



Kritische Sicherheitslücken in Drupal vor Version 6.14/5.20 - ok-webhosting - 19.09.2009

Sehr geehrte Damen, sehr geehrte Herren, sehr geehrte ok-webhosting Kunden,

über eine Reihe von Sicherheitslücken im weit verbreiteten CMS Drupal ist es Angreifern möglich zusätzliche OpenIDs zu erstellen, andere Benutzerkonten zu übernehmen und Dateien einzuspeisen.

Nachfolgende Schwachstellen sind in allen aktuellen Versionen von Drupal vor Version 6.14 / 5.20 vorhanden.

Über die Sicherheitslücken OpenID Modul können Angreifer HTTP Anforderungen ohne gültige Authentifizierung durchführen. Diese Lücke lässt sich zur Übernahme weiterer OpenIDs ausnutzen.

Über einen nicht im Detail beschriebenen Fehler innerhalb der Authentifizierungs-implementierung von OpenID können Angreifer eine beliebige Benutzersitzung übernehmen solange von dieser der gleiche OpenID 2.0 Provider genutzt wird.

Die dritte Schwachstelle entsteht im Bereich der „File API“ und erlaubt das Hochladen von Dateien, die unter Umständen vom Webserver ausführbar sind. Auf diese Weise lässt sich eigener Code in den Webserver einspeisen und ausführen.

Empfehlung:

Es wird allen Nutzern von Drupal vor Version 6.14 und 5.20 dringend empfohlen ein Update auf vorgenannte, fehlerbereinigte Versionen durchzuführen. Entsprechender Download findet sich beispielsweise unter http://www.drupalcenter.de/