Drupal: Security-Release fürs CMS repariert sicherheitsanfällige Komponente

  • Tipp

  • mad.de
  • 1053 Aufrufe 1 Antwort

Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

  • Drupal: Security-Release fürs CMS repariert sicherheitsanfällige Komponente

    Drupal-Nutzer sollten den CMS-Core aktualisieren. Die Entwickler haben eine Schwachstelle gefixt, die als "moderately critical" gilt.

    Im Core des Content-Management-Systems Drupal steckt eine Schwachstelle, die entfernten Angreifern die Manipulation von Dateien im CMS ermöglichen kann.

    Das BSI hat in einer Sicherheitswarnung die zweithöchste Risikostufe (4 von 5) angegeben. Die Drupal-Entwickler selbst wählten gemäß "NIST's Common Misuse Scoring System (CMSS)" die Einstufung "moderately critical". Updates sind verfügbar und sollten zeitnah eingespielt werden.
    Schwachstelle in TYPO3 bereits vor einem Jahr geschlossen

    Die Drupal-Entwickler geben in ihrem Sicherheitshinweis zur Schwachstelle (CVE-2019-11831) die Drittanbieter-PHP-Komponente "Phar Stream Wrapper" als Gefahrenquelle an. Sie verweisen außerdem auf ein aktuelles Dokument auf der Internetpräsenz des CMS Typo3, in dem die Schwachstelle detailliert erläutert wird.

    Das Dokument verweist seinerseits auf einen Typo3-Sicherheitshinweis, der belegt, dass CVE-2019-11831 auch in Typo3 existierte. Die Entwickler eliminierten die Schwachstelle allerdings schon im Juli 2018 aus ihrem CMS. Auch das Phar Stream Wrapper Package selbst wurde mittlerweile gefixt.
    Drupal Core jetzt aktualisieren

    Die Drupal-Entwickler raten Nutzern von Drupal 8.7 zum Update auf Drupal 8.7.1. Nutzer von 8.6 sollten auf 8.6.16 umsteigen. 8er-Versionen vor 8.6.x erhalten keine Sicherheitsupdates mehr und sollten dementsprechend gar nicht mehr genutzt werden. Für Drupal-7-User beseitigt die Aktualisierung auf 7.67 die Schwachstelle.

    Quelle: Drupal: Security-Release fürs CMS repariert sicherheitsanfällige Komponente | heise online
  • Sicherheitsupdates: Drupal-Module für Attacken anfällig

    Die Drupal-Module Menu Item Extra und Workflow sind über Schwachstellen attackierbar. Updates sind verfügbar.

    Wer das Content Management System (CMS) Drupal mit den Modulen "Menu Item Extra" oder "Workflow" nutzt, sollte die Module auf den aktuellen Stand bringen. Ansonsten könnten Angreifer mit dem CMS gebaute Websites attackieren. Das Notfallteam des Bundesamt für Sicherheit in der Informationstechnik CERT Bund stuft das Angriffsrisiko als "hoch" ein.

    Aufgrund von mangelnden Überprüfungen von Eingaben könnten Angreifer CSRF- und XSS-Attacken ausführen. Dafür müssten sie jedoch je nach Modul über die Berechtigungen "administrator nodes", "administrator menu" oder "administrator workflow" verfügen. Weitere Infos zu den Lücken erläutern die Entwickler in zwei Sicherheitswarnungen zu Menu Item Extras und Workflow.

    Abgesichert sind die Versionen Menu Item Extras 8.x-2.5 für Drupal 8.x und Workflow 7.x-2.12 für Drupal 7.x.

    Quelle: Sicherheitsupdates: Drupal-Module für Attacken anfällig | heise online