{"id":1996,"date":"2012-05-03T07:01:15","date_gmt":"2012-05-03T06:01:15","guid":{"rendered":"http:\/\/www.cms-content-migration.de\/?p=1996"},"modified":"2016-04-20T06:19:05","modified_gmt":"2016-04-20T04:19:05","slug":"drupal-7-13-und-7-14-wichtige-sicherheits-und-wartungsreleases","status":"publish","type":"post","link":"https:\/\/www.media-deluxe.de\/blog\/2012\/05\/drupal-7-13-und-7-14-wichtige-sicherheits-und-wartungsreleases\/","title":{"rendered":"Drupal 7.13 und 7.14 – wichtige Sicherheits- und Wartungsreleases"},"content":{"rendered":"
\"Update<\/div>\n
Drupal hat mit Version 7.13 ein Sicherheitsrelease ver\u00f6ffentlicht, das mehrere kritische Sicherheitsl\u00f6cher schlie\u00dft. Es wird empfohlen, das Update umgehend einzuspielen. Das Wartungsrelease Drupal 7.14 umfasst das Sicherheitsupdate 7.13 und dar\u00fcber hinaus noch zahlreiche Bugfixe. Neue Features erh\u00e4lt die gegenw\u00e4rtig noch aktuelle 7.x-Serie des Open Source Content Management Systems nicht mehr. Drupal 8 wird f\u00fcr Mitte 2013 erwartet. <\/strong><\/div>\n

Drupal 7.13 schlie\u00dft kritische Sicherheitsl\u00fccken<\/h2>\n

Drupal 7.13 schlie\u00dft f\u00fcnf Sicherheitsl\u00fccken, die zum Teil aus der Ferne ausgen\u00fctzt werden k\u00f6nnen. Insgesamt werden die Schwachstellen mit \u201ekritisch\u201d bewertet, der Warnstufe 4 von 5 auf der Drupal-eigenen Skala von Sicherheitsrisiken. Die CVSS-Bewertungen<\/a> wurden nicht angegeben.<\/p>\n

Denial of Service-Schwachstelle (CVE-2012-1588)<\/h3>\n

Das Textfiltersystem von Drupal, das unerw\u00fcnschte HTML-Tags und Links entfernen soll, weist eine Schwachstelle auf, die durch spezielle Textmuster ausgehebelt werden kann. Zur Ausn\u00fctzung der L\u00fccke muss man \u00fcber Nutzerrechte verf\u00fcgen, Inhalte an das System zu senden, beispielsweise in Form eines Kommentars oder durch Er\u00f6ffnung eines Foren-Threads.<\/p>\n

Unvalidierter Redirect von Formularen (CVE-2012-1589)<\/h3>\n

Die Formular-API pr\u00fcft nicht ausreichend ob die Formular-URL innerhalb der eigenen Site liegt. Diese Schwachstelle k\u00f6nnte dazu ausgen\u00fctzt werden, das Login-Formular auf einer fremden Site zu platzieren und dort mit sch\u00e4dlichem Code (zum Beispiel zum Abgreifen von Passw\u00f6rtern) zu versehen.<\/p>\n

Umgehung von Rechtekontrollen (CVE-2012-1590, CVE-2012-1591, CVE-2012-2153)<\/h3>\n

Drei weitere Schwachstellen betreffen nicht ausreichende Kontrollen von Nutzerrechten, die unerlaubte Rechteausweitungen zur Folge haben k\u00f6nnen. So k\u00f6nnen unautorisierte Benutzer unter gewissen Umst\u00e4nden Meta-Daten (z.B. Seitentitel) noch unver\u00f6ffentlichter Forenbeitr\u00e4ge einsehen (CVE-2012-1590) oder beispielsweise Derivate privater Bilder1<\/a><\/sup> (CVE-2012-1591). Im dritten Fall (CVE-2012-2153) k\u00f6nnen User, sofern sie das Nutzerrecht \u201eview content overview\u201d zugewiesen bekamen, unter Umst\u00e4nden Nodes noch unver\u00f6ffentlichter Beitr\u00e4ge zu sehen bekommen, was mit solchen Benutzerrechten nicht m\u00f6glich sein sollte.<\/p>\n

Drupal 7.14<\/h2>\n

Drupal 7.14 umfasst das Sicherheitsrelease 7.13 sowie zahlreiche weitere, nicht sicherheitskritische Bugfixe. Neue Features werden erst wieder in der 8.x-Reihe des Content Management Systems implementiert, deren Ver\u00f6ffentlichung im August 2013 erwartet wird.<\/p>\n

\n

Weiterf\u00fchrende Links<\/h3>\n