Die Drupal-Entwickler haben in ihrem freien und quelloffenen CMS vier Sicherheitslücken geschlossen. Durch die kritischste der Lücken können Angreifer sich für die Webseite über das OpenID-Modul Admin-Rechte verschaffen. Außerdem können Besucher durch zwei weitere Lücken ohne ihr Wissen auf andere Webseiten umgeleitet werden, was für Phishing-Angriffe missbraucht werden kann.

Die letzte der Lücken könnte unter Umständen dazu führen, dass einfache Nutzer der Seite Informationen, die nur für begrenzte Nutzergruppen bestimmt sind, zu Gesicht bekommen.

Von drei der Lücken ist nur Drupal 7 betroffen, allerdings kann die OpenID-Schwachstelle auch mit Drupal 6 missbraucht werden. Das Admin-Konto des Opfers muss jedoch bei beiden CMS-Versionen eine OpenID-Identität bei bestimmten OpenID-Providern haben und diese mit der Drupal-Seite nutzen. Unter anderem nennen die Drupal-Entwickler hier StackExchange, Verisign und LiveJournal. Um die Lücken zu schließen, sollten Admins ihre Installationen auf Drupal 7.38, beziehungsweise Drupal 6.36 aktualisieren.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE