Drupal stopft mehrere Sicherheitslücken

von Marc Rochow | 0 | 1326 Aufrufe

Anzeige Hier werben

Mit zwei Updates werden mehrere Sicherheitslücken im populären Content Management System Drupal geschlossen. Das Drupal Team rät diese Updates unbedingt einzuspielen. Betroffen ist unter anderem der Zufallszahlen-Generator, der von OpenID genutzt wird.

Drupal hatte die PHP-Funktion mt_rand() benutzt, um Pseudozufallszahlen für die Krypto-Module des CMS zu erzeugen. Allerdings ist dieser Generator für kryptografische Zwecke vollkommen ungeeignet, dessen Seeds lassen sich in weniger als einer Minute knacken.Mit Brute-Force-Angriffen können wegen des nur 32 Bit langen Seeds die erstellten Zahlen ohne großen Rechenaufwand vorhergesagt werden. Mit dem Update werden Zufallszahlen zunächst mit OpenSSL-Bibliotheken oder /dev/random unter Linux- und Unix-Systemen über drupal_random_bytes() generiert und erst dann mit mt_rand() verarbeitet.

Ebenfalls wurden Lücke geschlossen, die durch Cross-Site-Request-Forgery und Cross-Site-Scripting missbraucht werden können, wie die Entwickler in ihrer Sicherheitsmeldung bekannt gaben (SA-CORE-2013-003).

Zudem wurde der Schutz der Verzeichnisse verbessert. Drupal legt in seinen Verzeichnissen, in denen Dateien hochgeladen werden können, eine .htaccess-Datei ab, die das Ausführen von PHP-Skripten auf Apache-Webservern verhindern soll. In bestimmten Konfigurationen von Apache bleibt diese Sperre allerdings unwirksam. Deshalb haben die Entwickler die .htaccess-Datei erweitert, sie muss aber manuell angepasst werden.

Die beiden Updates wurden von den Entwicklern als Versionen Drupal 7.24 und 6.29 veröffentlicht und können von der Projektseite heruntergeladen werden.

Über den Autor: Marc Rochow
Webentwickler bei Team23, Djangonaut und Open-Source-Fan. Mehr Infos: www.gironimo.org
Profilseite betrachten