Kritische Lücken in Drupal-Modulen

Zwei Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen Angriffe auf mit dem Content Management System (CMS) Drupal 8.x erstellte Internetseitem angreifbar. Deshalb haben die Drupal-Entwickler das Sicherheitsrisiko als "kritisch" bewertet. Inzwischen sind aber abgesicherte Versionen sind verfügbar. Die reCaptcha-Lücke Wegen einer fehlenden Überprüfung könnten kriminelle Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage entweder ungültige oder unvollständige Formulare auf den Server übertragen. Wo genau das Ziel eines solchen Angriffs liegt, führt Drupal in seiner Sicherheitswarnung dazu leider nicht weiter aus. Die abgesicherte Versiondes CMS trägt die Versionsnummer 8.x-1.2. Die Webforms-Lücke Ein ähnlicher Fehler im Modul Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Informationen zugreifen könnten. Hier schließt die Version 8.x-5.12  die zweite Sicherheitslücke in dem beliebten CMS. Weitergehende Informationen zu den Sicherheitslücken gibt Drupals Security Advisory: reCAPTCHA v3 - Critical - Access bypass - SA-CONTRIB-2020-019 Critical - Access bypass - SA-CONTRIB-2020-018

2020-05-15T10:06:13+02:00Mai 15th, 2020|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in Drupal-Modulen

Drupal-Update schließt extrem kritische Lücke

Ein wichtiger Termin für alle, die ihre Internetseiten auf Basis des CMS Drupal erstellt haben: Am 28. März zwischen 20:00 und 21:30 deutscher Zeit wollen die Drupal-Entwickler Sicherheitsupdates für das Content Management System (CMS) zum Download bereitstellen. Diese Updates für diverse Varianten des CMS Drupal schließen eine extrem kritische Sicherheitslücke, kann man der Vorankündigung entnehmen. Die Updates soll es nicht nur für die noch supporteten Versionen 7.x und 8.5.x geben. Wegen der Schwee der Lücke wollen die Entwickler auch noch einmal Updates für die eigentlich nicht mehr im Support befindlichen Versionen  8.3.x und 8.4.x zur Verfügung stellen. Angriffe sind bald zu erwarten Die Admins von Websites unter Drupal sollten die Sicherheitsupdates am nächsten Mittwoch möglichst zügig installieren, weil potentielle Angreifer in wenigen Stunden Exploits entwickeln könnten, warnt das Team von Drupal. Aus diesem Grund gibt es aktuell auch noch keine weiteren Infos zu dieser Schwachstelle.

2018-03-23T21:17:26+02:00März 23rd, 2018|CMS|Kommentare deaktiviert für Drupal-Update schließt extrem kritische Lücke

Sicherheitsupdate Thunderbird 52.6

Beim Email-Client Thunderbird wurden soeben zehn Sicherheitslücken beseitigt. Der bereinigte aktuelle Thunderbird 52.6 steht seit heute zum Download bereit. Zusätzliche Angaben zu den beseitigten Schwachstellen finden Sie In der offiziellen Sicherheitswarnung von Hersteller Mozilla. Mozilla stuft die Auswirkungen der Lücken laut Sicherheitswarnung insgesamt als kritisch ein; obwohl der Großteil der Schwachstellen den Bedrohungsgrad "hoch" aufweist. Nur die Schwachstelle CVE-2018-5089 wird auch einzeln vom Hersteller als „kritisch“ bewertet. Wenn Angreifer die Lücken ausnutzen, könnten sie Speicherfehler auslösen und damit den Email-Client crashen oder sogar Schadcode auf dem Rechner ausführen. Mozilla legt Wert auf den Hinweis, dass man die Lücken in der Standardeinstellung von Thunderbird nicht ausnutzen kann, weil das Scripting ab Werk deaktiviert ist. Wie solche Angriffe im Detail vor sich gehen, bleibt aber noch unklar. Wegen der Einstufung „kritisch“ ist aber wohl anzunehmen, dass letztlich Angriffe aus der Ferne ohne Authentifizierung stattfinden können.

2018-01-27T21:08:53+02:00Januar 26th, 2018|Javascript, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate Thunderbird 52.6

Sicherheitsupdate für CMS Drupal

Ersteller und Administratoren von Webseiten, die mit dem Content Management System (CMS) Drupal aufgebaut sind, sollten jetzt dringend die CMS-Software aktualisieren. Das soeben veröffentlichte Sicherheitsupdate für die Drupal-Versionen 6,7 und 8 beseitigt insgesamt 10 Sicherheitslücken in den Kernroutinen des CMS (SA-CORE-2016-001). Eine der Lücken wurde als „kritisch“ eingestuft, sechs davon wurden in die zweithöchsten Priorität „moderat kritisch“ eingeordnet. Die Probleme gehen auf diverse Bugs in der Software zurück. Das geht von Schwachstellen beim Upload von Dateien und über defekte APIs bis hin zu Lücken, die es Angreifern erlauben, mit Phishing-Attacken Besucher einer Seite auf bösartige andere Internetseiten ihrer Wahl weiterzuleiten. Die genannte kritische Lücke ist im Grunde ein Programmierfehler, der einem Nutzer in einem Webformular Buttons anzeigt, die der auf Grund seiner Rechte eigentlich gar nicht sehen (und vor allem nicht benutzen) dürfte. So können normale Benutzer plötzlich Admin-Rechte bekommen. Wer immer noch Drupal 6 einsetzt, sollten sein Systemauf Version 6.38 aktualisieren, Drupal-7-Nutzer sollten Version 7.43 herunterladen. Wer die neueste Drupal-Version benutzt, braucht das Update auf Version 8.0.4. Dieser Sicherheitsupdate markiert jetzt auch das Ende von Drupal 6 bzw. seines Support-Zyklus – weitere Updates für die 6er-Schiene wird es danach nicht mehr geben.

2016-02-25T17:04:25+02:00Februar 25th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitsupdate für CMS Drupal

Sicherheitsupdate für Java SE von Oracle

Zum Ende letzter Woche hat Oracle ein Java SE-Update veröffentlicht, das insgesamt 20 Sicherheitslücken schließen soll. Das Update gibt es für Windows, Linux und Solaris. Die Windows-Version wird über die automatische Schnittstelle Windows Update angeboten, man kann aber alle Patches bei Oracle downloaden. Bis auf eine lassen sich alle 20 Sicherheitslücken über das Netz ohne Authentifizierung nutzen. Sechs davon werden von Oracle als "kritisch" eingestuft. Auch die seit Ende September bekannte Lücke in Version 1.0 der Transport Layer Security (TLS), einer Verschlüsselung, die per HTTPS aufgerufene Websites sichern soll, wird mit diesem Update geschlossen.

2011-10-24T09:33:20+02:00Oktober 24th, 2011|Javascript|Kommentare deaktiviert für Sicherheitsupdate für Java SE von Oracle
Nach oben