No replies to this topic

[smc2014]

Drupal-Lücken erlauben das Kapern von Admin-Konten

 

Please Login HERE or Register HERE to see this link!

 

In Drupal 6 und 7 klaffen vier Sicherheitslücken. Die schwerwiegendste erlaubt es Angreifer, Admin-Konten des CMS über OpenID zu kapern. Updates, welche die Lücken schließen, stehen zum Download bereit.

Die Drupal-Entwickler haben

Please Login HERE or Register HERE to see this link!

in ihrem freien und quelloffenen CMS geschlossen. Die kritischste der Lücken erlaubt es Angreifern, sich über das OpenID-Modul Admin-Rechte für die Webseite zu verschaffen. Zwei weitere Lücken können missbraucht werden, um Besucher der Seite ohne ihr Wissen auf andere Webseiten umzuleiten †“ das kann für Phishing-Angriffe missbraucht werden. Die letzte Lücke im Bunde könnte unter Umständen dazu führen, dass einfache Nutzer der Seite Informationen zu Gesicht bekommen, die nur für begrenzte Nutzergruppen bestimmt sind.

Drei der Lücken betreffen nur Drupal 7, die OpenID-Schwachstelle kann allerdings auch mit Drupal 6 missbraucht werden. Bei beiden CMS-Versionen muss das Admin-Konto des Opfers allerdings eine OpenID-Identität bei bestimmten OpenID-Providern haben und mit der Drupal-Seite nutzen. Die Drupal-Entwickler nennen hier unter anderem Verisign, StackExchange und LiveJournal. Admins sollten ihre Installationen auf Drupal 7.38, beziehungsweise Drupal 6.36

Please Login HERE or Register HERE to see this link!

, um die Lücken zu schließen.

Quelle:

Please Login HERE or Register HERE to see this link!