Sicherheitsupdate: Angriffe auf Drupal-Admins möglich

Weil Angreifer mit dem CMS Drupal erstellte Websites attackieren könnten, haben die Entwickler des Content Management Systems Drupal jetzt zwei Sicherheitslücken geschlossen, deren Risiko die Entwickler insgesamt  als "moderat kritisch" ein stufen. Die Probleme stecken im CKEditor Beiden Schwachstellen (CVE-2021-41164 "hoch", CVE-2021-41165 "mittel") stecken in dem in Drupal integrierten CKEditor. Allerdings sollen einer Warnmeldung zufolge aber nur solche Websites angreifbar sein, bei denen die CKEditor-Bibliothek für die WYSIWYG-Bearbeitung aktiviert ist. Ob das standardmäßig so eingestellt ist, geht aus der Meldung leider nicht hervor. In einem so eingestellten System könnten Angreifer Inhalte erstellen oder verändern. Außerdem ist es denkbar, dass etwa Admins ins Visier von XSS-Angriffen geraten. Die bereinigten Versionen Die Drupal-Versionen 8.9.20, 9.1.14 und 9.2.9 sind jetzt gegen solche Angriffe abgesichert worden. Für 9er-Versionen vor 9.1.x ist der Support inzwischen ausgelaufen und es gibt keine Sicherheitsupdates mehr. Für Drupal 8 ist es der letzte Sicherheitspatch.  Weil Drupal 7 den CKEditor nicht benutzt, ist diese Version insgesamt nicht von dem Problem betroffen.

2021-11-19T18:13:23+02:00November 19th, 2021|CMS, Sicherheit|Kommentare deaktiviert für Sicherheitsupdate: Angriffe auf Drupal-Admins möglich
Weiterlesen

Drupal: Angriffe auf Admin-Accounts

Durch eine Sicherheitslücke in der Bibliothek des CKEditor werden Admin-Konten von Drupal angreifbar. Wenn Sie auf einer mit dem Content Management System (CMS) Drupal erstellten Website die Drittanbieter-Bibliothek WYSIWYG CKEditor für registrierte Seitennutzer nutzen, sollten Sie das CMS jetzt dringend auf den aktuellen Stand bringen. Vom Drupal-Team wird die Sicherheitslücke in der Bibliothek als "moderat kritisch" eingestuft. Davon betroffen sind die Versionen Drupal 8.7.x und 8.8.x. Die Ausgaben 8.7.12 und 8.8.4 sind abgesichert, wie man einer Meldung der Entwickler entnehmen kann. Mit den aktuellen Versionen kommt jeweils auch die reparierte CKEditor-Version 4.14 mit. Benutzer von Drupal 7 sollten dabei auch sicherstellen, dass diese CKEditor-Version auch in dem System installiert ist. Kriminelle Angreifer, die mit der Bibliothek Content für eine verwundbare Website erstellen können, könnten über die Schwachstelle unter Umständen auch Admin-Konten über XSS-Attacken angreifen.

2020-03-20T19:34:17+02:00März 20th, 2020|Allgemein, CMS, Sicherheit|Kommentare deaktiviert für Drupal: Angriffe auf Admin-Accounts
Weiterlesen

Drupal 8.8 kommt mit Medienbibliothek und Backend Theme

Soeben ist Version 8.8.0 des Kernsystems des freien Content-Managment-Frameworks  Drupal erschienen. Das CMS bringt eine gebrauchsfertige Medien-Bibliothek mit, die Bilder, Dokumente, Videos und vieles mehr verwaltt. Medienbibliothek und neues Backend Drupals Medien-Bibliothek dient als Oberfläche für das flexible Framework "Media". Sie ist nahtlos und passend zu den Feldtypen in den CKEditor integriert. Dort lassen sich alle Medien hochladen, auswählen, suchen und wiederverwenden. Das neue Administrations-Theme "Claro", das dem etwas in die Jahre gekommenen Drupal-Backend ein Facelifting verpasst, befindet sich noch im Status "experimentell". Die Programmierer von Claro haben sich besonders auf die Barrierefreiheit des neuen Designs gelegt. Immer noch als „experimentell“ gelten die hierarchischen "Workspaces", mit denen Redaktionen zusammenhängende Bereiche ihrer Website versionieren und freigeben können – zum Beispiel für eine Sondersausgabe. Die Workspaces lassen sich in der gerade veröffentlichten Version Drupal 8.8.0 auch mit den Workflows des Moduls "Content moderation" verknüpfen. Kommende Versionen Drupal 8.8 ist das vorletzte Minor-Release des 8er-Zweiges. Die nächste Version 8.9.0 plant Drupal als "Long term support"-Release und sie soll am 3. Juni 2020 veröffentlicht werden. Am selben Tag soll auch die nächste Hauptversion Drupal 9.0 herauskommen, die keine neuen Features gegenüber 8.8 mitbringen soll. Dazu versprechen die Drupal-Entwckler einen reibungslosen und weitgehend automatischen Upgrade-Prozess zwischen den Hauptversionen. Wer mit Drupal entwickelt, kann [...]

2019-12-05T10:57:55+02:00Dezember 5th, 2019|CMS, Webwerkzeuge|Kommentare deaktiviert für Drupal 8.8 kommt mit Medienbibliothek und Backend Theme
Weiterlesen
Nach oben