21.10.2007, 21:55:42
Die Drupal-Versionen 4.7.8 bzw. 5.3 beheben eine Reihe von Sicherheitsproblemen der Vorgänger. Als besonders kritisch wird hierbei ein Fehler im Installer eingestuft.
Sofern der eingetragene SQL-Server nicht erreichbar ist, fragt der Installer den User nach einem anderen und der könnte darüber eigenen Code einschleusen.
Als schnellen Workaround schlagen die Entwickler vor, die install.php im Root-Verzeichnis unbedingt zu entfernen. Weitere Lücken in o.g. Versionen sind mit HTTP Response Splitting, Cross Site Request Forgery und Cross Site Scripting gegeben.
Für alle Schwachstellen stehen auch einzelne Patches relativ zur vorhergehenden Version bereit, die Entwickler empfehlen jedoch ein Komplett-Upgrade auf 4.7.8 beziehungsweise 5.3, da diese weitere kleinere Bugfixes enthalten. Neue Funktionen seien jedoch nicht hinzugekommen.
Sofern der eingetragene SQL-Server nicht erreichbar ist, fragt der Installer den User nach einem anderen und der könnte darüber eigenen Code einschleusen.
Als schnellen Workaround schlagen die Entwickler vor, die install.php im Root-Verzeichnis unbedingt zu entfernen. Weitere Lücken in o.g. Versionen sind mit HTTP Response Splitting, Cross Site Request Forgery und Cross Site Scripting gegeben.
Für alle Schwachstellen stehen auch einzelne Patches relativ zur vorhergehenden Version bereit, die Entwickler empfehlen jedoch ein Komplett-Upgrade auf 4.7.8 beziehungsweise 5.3, da diese weitere kleinere Bugfixes enthalten. Neue Funktionen seien jedoch nicht hinzugekommen.
Mit freundlichen Grüßen / Best Regards
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de
Markus Clemenz
ok-webhosting
Krähwinkelweg 23
71229 Leonberg
Telefon +49 (0)7152 401 82 52
Telefax +49 (0)7152 401 82 53
Email: Kontakt@ok-webhosting.de