Sicherheitsupdate für Drupal

Vier Sicherheitslecks werden mit Drupal 5.20 und 6.14 abgedichtet. Zwei befinden sich im OpenID-Modul, das anfällig für CSRF-Attacken (Cross Site Request Forgeries) ist und nicht exakt der OpenID-Spezifikation 2.0 entspricht. Ein Angreifer kann dadurch auf fremde Accounts zugreifen.

Außerdem werden in einigen Fällen Session-IDs nicht neu generiert, so dass ein Angreifer sie erneut nutzen kann, etwa um Passwörter zurückzusetzen. Und zu guter Letzt werden bestimmte Dateitypen durch den File-Upload nicht ausreichend geprüft, so dass ausführbare Dateien auf den Server gelangen können. Allerdings weisen die Entwickler darauf hin, dass eigentlich die .htaccess die Ausführung verhindern sollte.

Abgesehen davon behebt man mit den neuen Drupal-Version auch gleich eine ganze Reihe von Bugs. Welche das sind, lässt sich den Release Notes für Drupal 5.20 und Drupal 6.14 entnehmen. (Daniel Dubsky)