Themabewertung:
  • 0 Bewertung(en) - 0 im Durchschnitt
  • 1
  • 2
  • 3
  • 4
  • 5
Kritische Sicherheitslücken in Drupal vor Version 6.14/5.20
#1
Sehr geehrte Damen, sehr geehrte Herren, sehr geehrte ok-webhosting Kunden,

über eine Reihe von Sicherheitslücken im weit verbreiteten CMS Drupal ist es Angreifern möglich zusätzliche OpenIDs zu erstellen, andere Benutzerkonten zu übernehmen und Dateien einzuspeisen.

Nachfolgende Schwachstellen sind in allen aktuellen Versionen von Drupal vor Version 6.14 / 5.20 vorhanden.

Über die Sicherheitslücken OpenID Modul können Angreifer HTTP Anforderungen ohne gültige Authentifizierung durchführen. Diese Lücke lässt sich zur Übernahme weiterer OpenIDs ausnutzen.

Über einen nicht im Detail beschriebenen Fehler innerhalb der Authentifizierungs-implementierung von OpenID können Angreifer eine beliebige Benutzersitzung übernehmen solange von dieser der gleiche OpenID 2.0 Provider genutzt wird.

Die dritte Schwachstelle entsteht im Bereich der „File API“ und erlaubt das Hochladen von Dateien, die unter Umständen vom Webserver ausführbar sind. Auf diese Weise lässt sich eigener Code in den Webserver einspeisen und ausführen.

Empfehlung:

Es wird allen Nutzern von Drupal vor Version 6.14 und 5.20 dringend empfohlen ein Update auf vorgenannte, fehlerbereinigte Versionen durchzuführen. Entsprechender Download findet sich beispielsweise unter http://www.drupalcenter.de/
Mit freundlichen Grüßen / Best Regards

Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg

Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Zitieren


Gehe zu:


Benutzer, die gerade dieses Thema anschauen: 2 Gast/Gäste