Sicherheitsupdates für CMS Drupal

Die Entwickler des CMS Drupal weisen in ihrem neuen Fehlerbericht auf eine mögliche SQL-Injection-Schwachstelle hin. Die Funktion taxonomy_select_nodes fügt Variablen in SQL-Queries ungeprüft ein. Eigene Befehle können mit präparierten Variableninhalten an die Datenbank übergeben werden. Dies könnten Angreifer nutzen, um geschützte Inhalte aus der Datenbank auslesen oder sogar Inhalte zu manipulieren. Zwar prüft und filtert das Taxonomy-Modul die Parameter vor Weitergabe an die Funktion, dies geschieht jedoch bei Modulen anderer Hersteller möglicherweise nicht, z.B.: taxonomy_menu, ajaxLoader und ubrowser. Betroffen sind die Drupal-Versionen vor 4.7.9 und vor 5.4. Ein Update auf 4.7.9 und 5.4 sollte das Problem beheben. Allerdings schlich sich dort ein zwar nicht sicherheitsrelevanter aber kritischer Fehler ein. Die Entwickler stellen daher bereits die Versionen 4.7.10 und 5.5 zum Download bereit. Alternativ werden Patches angeboten.

0 Kommentar(e)

Zum Posten von Kommentaren bitte