Drupal 7.13 und 7.14 – wichtige Sicherheits- und Wartungsreleases

Publiziert am 3.5.2012 von Marc Stenzel
Update NOW!
Drupal hat mit Version 7.13 ein Sicherheitsrelease veröffentlicht, das mehrere kritische Sicherheitslöcher schließt. Es wird empfohlen, das Update umgehend einzuspielen. Das Wartungsrelease Drupal 7.14 umfasst das Sicherheitsupdate 7.13 und darüber hinaus noch zahlreiche Bugfixe. Neue Features erhält die gegenwärtig noch aktuelle 7.x-Serie des Open Source Content Management Systems nicht mehr. Drupal 8 wird für Mitte 2013 erwartet.

Drupal 7.13 schließt kritische Sicherheitslücken

Drupal 7.13 schließt fünf Sicherheitslücken, die zum Teil aus der Ferne ausgenützt werden können. Insgesamt werden die Schwachstellen mit „kritisch” bewertet, der Warnstufe 4 von 5 auf der Drupal-eigenen Skala von Sicherheitsrisiken. Die CVSS-Bewertungen wurden nicht angegeben.

Denial of Service-Schwachstelle (CVE-2012-1588)

Das Textfiltersystem von Drupal, das unerwünschte HTML-Tags und Links entfernen soll, weist eine Schwachstelle auf, die durch spezielle Textmuster ausgehebelt werden kann. Zur Ausnützung der Lücke muss man über Nutzerrechte verfügen, Inhalte an das System zu senden, beispielsweise in Form eines Kommentars oder durch Eröffnung eines Foren-Threads.

Unvalidierter Redirect von Formularen (CVE-2012-1589)

Die Formular-API prüft nicht ausreichend ob die Formular-URL innerhalb der eigenen Site liegt. Diese Schwachstelle könnte dazu ausgenützt werden, das Login-Formular auf einer fremden Site zu platzieren und dort mit schädlichem Code (zum Beispiel zum Abgreifen von Passwörtern) zu versehen.

Umgehung von Rechtekontrollen (CVE-2012-1590, CVE-2012-1591, CVE-2012-2153)

Drei weitere Schwachstellen betreffen nicht ausreichende Kontrollen von Nutzerrechten, die unerlaubte Rechteausweitungen zur Folge haben können. So können unautorisierte Benutzer unter gewissen Umständen Meta-Daten (z.B. Seitentitel) noch unveröffentlichter Forenbeiträge einsehen (CVE-2012-1590) oder beispielsweise Derivate privater Bilder1 (CVE-2012-1591). Im dritten Fall (CVE-2012-2153) können User, sofern sie das Nutzerrecht „view content overview” zugewiesen bekamen, unter Umständen Nodes noch unveröffentlichter Beiträge zu sehen bekommen, was mit solchen Benutzerrechten nicht möglich sein sollte.

Drupal 7.14

Drupal 7.14 umfasst das Sicherheitsrelease 7.13 sowie zahlreiche weitere, nicht sicherheitskritische Bugfixe. Neue Features werden erst wieder in der 8.x-Reihe des Content Management Systems implementiert, deren Veröffentlichung im August 2013 erwartet wird.

Weiterführende Links

Fußnote 1:
Drupal erlaubt private Dateien und Bilder. Von letzteren kann der Besitzer der Bilder mit Image Styles veränderte Derivate erzeugen, beispielsweise in Größe und Sättigung modifiziert. Um solche Derivate geht es in der o.g. Schwachstelle.

Share on Facebook Share on Twitter Post to Delicious! Post to Diaspora!

Über Marc Stenzel

Marc Stenzel ist Inhaber der New Media Agentur media deluxe sowie freiberuflich als Marketing- und Projektmanager Online, Dozent und Fachjournalist (DFJV) tätig. Marc Stenzel bloggt hier über aktuelle Themen aus dem fachlichen und räumlichen Umfeld des Unternehmens - mal sachlich, mal humorvoll:
Dieser Beitrag wurde unter CMS News, CMS Sicherheitswarnungen abgelegt und mit , , , , , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Kommentare sind geschlossen.