Sicherheitsupdates schützen Drupal-Installationen

Für die aktuelle Version 6 und den Vorgänger hat das Drupal-Projekt dringliche Wartungsupdates bereitgestellt. Gleich drei Aktualisierungen stehen für das Content-Management-System (CMS) bereit. Drupal 6.18 und 5.23 sind wichtige Sicherheitsupdates, die mehrere kritische Schwachstellen in der Webanwendung adressieren. Mit vorbereiteten HTML-Seiten und Scriptcode können sich Hacker Fehler in der Aktions-Funktion zunutze machen, die normalerweise auf bestimmte Events reagiert und Aktionen aufruft. Durch Schadcode in Drupal-Seiten sind Cross-Site-Scripting-Angriffe (XSS) und sogar Administrator-Zugriff auf das gesamte CMS denkbar.

Die OpenID-Authentifizierung kann durch einen Fehler bei der Implementierung umgangen werden. Kommentare, die von Moderatoren nach der Veröffentlichung wieder zurückgenommen wurden, lassen sich über eine speziell angepasste URL wieder veröffentlichen. Im Upload-Modul könnte ein Angreifer durch manipulierte Dateinamen dafür sorgen, dass er Dateien herunterladen kann, die nicht für ihn bestimmt sind.  Schliesslich behebt Drupal 6.19 noch einige Bugs, die jedoch nicht sicherheitsrelevant sind. Neue Funktionen bietet erst wieder Drupal 7. (ph/phpj)  Drupal