Neue Version 6.14 von Drupal beseitigt Mängel

Laut einem Bericht der Sicherheitsexperten von Secunia treten die Schwachstellen in allen aktuellen Versionen des CMS Drupal vor Version 6.14 auf. Im Detail sehen die Sicherheitslücken wie folgt aus: Über eine Sicherheitslücken im OpenID Modul können Angreifer HTTP Anforderungen ohne gültige Authentifizierung durchführen. Diese Lücke lässt sich beispielsweise zur Übernahme weiterer OpenIDs ausnutzen. Über einen nicht im Detail beschriebenen Fehler innerhalb der Authentifizierungsimplementierung von OpenID können Angreifer eine beliebige Benutzersitzung übernehmen solange von dieser der gleiche OpenID 2.0 Provider genutzt wird. Die dritte Schwachstelle entsteht im Bereich der „File API“ und erlaubt das Hochladen von Dateien, die unter Umständen vom Webserver ausführbar sind. Auf diese Weise lässt sich eigener Code in den Webserver einspeisen und ausführen.

Die neuste Version 6.14 von Drupal steht ab sofort zum Download zur Verfügung. Das Update wird allen Benutzern des Content Management System dringend empfohlen. (vgw)