Die Kürzlich gemeldeten Sicherheitsprobleme bei Drupal haben die Linux-Distributoren behoben. Updates stehen für Debians Drupal6 und Drupal7 sowie für Fedora (2013-22507 und 2013-22352) bereit. Allerdings muss, wer Drupal auf einem Ubuntu-System betreibt, sich selbst kümmern.

Seine Stärken hat Ubuntu im Desktop-Bereich; nicht umsonst ziehen immer noch Server-Admins das verwandte Debian vor. Doch zu Testzwecken installieren immer wieder etwa Entwickler auch Server-Dienste auf ihren Desktop-Systemen. Dann sind die durchaus anfällig für aktuelle Lücken wie CVE-2013-6385 und CVE-2013-6386; sie werden allerdings – wenn überhaupt – nur sehr unregelmäßig gepflegt. Das Paket Drupal 7.12-1 bei Ubuntu 12.04 LTS stammt etwa von Februar 2012; es fehlen also gleich eine ganze Reihe von Sicherheits-Updates. Keineswegs ist das eine Ausnahme sondern eher die Regel: Ebenfalls fehlen für Wordpress etwa reihenweise kritische Sicherheits-Updates.

Wer also Server-Software auf seinem Ubuntu-System installiert hat, kann sich nicht darauf verlassen, dass die automatischen Sicherheits-Updates deren Lücken beseitigen sondern muss selbst auf die Sicherheitswarnungen der eigentlichen Entwickler ein scharfes Auge haben.

(hs, hannover)

(siehe auch Heise News-Ticker :)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE