Wichtiges Sicherheitsupdate für Drupal 7 und 8

Gestern erschien eine neue, sogenannte Maintenance-Version für Drupal 7 und Drupal 8. Wer Drupal im Einsatz hat, sollte schnell auf die neuste Version updaten.

Mit dem Update werden drei Sicherheitslücken geschlossen, die vom Drupal Sicherheitsteam als „moderat“ und „kritisch“ eingestuft worden sind:

  • Views (betrifft Drupal 7 und 8)
    Bei der Erstellung von Views kann Ajax verwendet werden. Damit werden angezeigte Daten gemäß Filterparameter aktualisiert. Allerdings war der Zugriff nicht begrenzt auf diesen View, so dass mehr Inhalte abgerufen werden konnten als der Programmierer wollte.
  • REST API
    Bei der Verwendung der REST API konnten User ohne Berechtigung Kommentare posten. Dies trat nur auf, wenn die Schnittstelle aktiviert ist und anonym Kommentare gepostet werden dürfen bzw. ein Angreifer weitere Informationen eines berechtigten Users kennt.
  • Entities
    Kritisch war eine Lücke, mit der man Kontrolle über das sogenannte Entity-System in Drupal 8 gewinnen konnte. Damit waren unter Umständen Inhalte durch unberechtigte Personen kontrollierbar.

Betroffen sind Drupal-Installationen unter der Zweig 8 vor Version 8.3.7 sowie unter Zweig 7 vor Version 7.x-3.17.

Drupal ist ein modular aufgebautes, sehr gut erweiterbaren und anpassbares Content Management System, das bei goneo auch als clickStart-Anwendung verfügbar ist. Das heißt, bei goneo lässt sich Drupal – wie auch viele weitere poluläre Webanwendungen  – schnell und einfach installieren.

Dieser Beitrag wurde unter Sicherheit, Webbasierte Open Source Software abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.