Zwei kritische Lücken in CMS Drupal gestopft
Angreifer könnten über zwei Sicherheitslecks auf die Datenbank des CMS zugreifen und auch eigene Skripte auf dem Server ausführen.
- Daniel Bachfeld
Die Entwickler des Content-Management-Systems Drupal haben Updates auf die Versionen 4.6.7 und 4.7.1 veröffentlicht, mit denen zwei Sicherheitslücken geschlossen werden. Angreifer könnten darüber auf die Datenbank des CMS zugreifen und auch auch eigene Skripte auf dem Server ausführen. Da die Entwickler beide Lücken als kritisch einstufen, empfehlen sie dringend, die Patches schnell zu installieren.
Ursache der SQL-Injection-Lücke ist die fehlerhafte Filterung von übergebenen Datenbankparametern. Die zweite Lücke beruht auf der Möglichkeit, auf das "files"-Verzeichnis zuzugreifen und dort Skripte auszuführen, und zwar ohne Authentifizierung. Nähere Angaben machen die Entwickler nicht, das Problem wird aber durch eine Zugriffsbeschränkung über das Anlegen einer .htaccess-Datei ausgebügelt.
Siehe dazu auch: (dab)
- SQL injection vulnerability, Fehlerbericht auf drupal.org
- Execution of arbitrary files in certain Apache configurations, Fehlerbericht auf drupal.org
