Mehrere Sicherheitslücken in LDAP Modul für Drupal

Laut einer Meldung der Sicherheitsexperten von Secunia treten die Mängel in allen Versionen des Drupal LDAP Modul vor Version 6.x-1.0-beta2 sowie 5.x-1.5 auf. Eine der insgesamt vier Sicherheitslücken entsteht durch die fehlerhafte Bereinigung von Servernamen und lässt sich zur Einspeisung von beliebigen HTML- und Scriptcode (Cross-Site-Scripting) in die Browsersitzung anderer Drupal Anwender missbrauchen. Über die zweite Sicherheitslücke lässt sich per HTTP-Anforderung ohne Authentifizierung der Zugriff auf LDAP nach Belieben an- und abschalten. Die beiden verbleibenden Sicherheitslücken können von Angreifern genutzt werden, um für sie sonst gesperrte Bereiche in Drupal einzusehen. Die neusten Versionen 6.x-1.0-beta2 und 5.x-1.5 beseitigen diese Mängel. Das Update wird dringend empfohlen. (vgw)