Updates gegen kritische Lücken in drei Modulen von Drupal

Am Mittwoch hat das Team des weit verbreiteten CMS Drupal drei Security-Advisories zu den Erweiterungen Modal Form, Apigee Edge und Easy Breadcrumb des CMS veröffentlicht. In der ersten steckt eine mit "critical", in den anderen beiden eine mit "moderately critical" bewertete Sicherheitslücke. Die Entwickler der Module haben deshalb Updates veröffentlicht, die die Nutzer von Drupal zeitnah einspielen sollten. Unbefugte Zugriffe und sogar Cross-Site-Scripting möglich Mit der kritischen Lücke in Modal Form befasst sich das Advisory SA-CONTRIB-2020-029. Wenn Angreifer den vollen Klassennamen ("fully-qualified class name") eines Formulars kennen, könntensie beliebig sowohl lesend als auch übermittelnd auf das Formular zugreifen, heißt es in der Beschreibung. Verwundbar sei die Version 8.x-1.x-dev. Deshalb sollten Nutzer, die Modal Form mit Drupal 8 oder 9 nutzen, sollten auf die bereinigte Version 8.x-1.2 updaten. Die Advisories zu Apigee Edge und Easy Breadcrumb richten sich ausschließlich an Nutzer von Drupal 8. Wer noch die verwundbare Version 8.x-1.x-dev eines der beiden Module nutzt, sollte jetzt auf 8.x-1.12 (Apigee Edge) bzw. 8.x-1.13 (Easy Breadcrumb) aktualisieren. Bei Nutzung der verwundbaren Apigee Edge-Version könnten Angreifer unbefugt Emailadressen aus anderen Drupal-Konten einsehen, wenn einige Voraussetzungen (aktiviertes Apigee Edge Teams-Submodul, Nutzerrolle mit "Manage team members"-Erlaubnis) erfüllt sind. Bei Nutzung des verwundbaren Easy Breadcrumb-Moduls sind unter bestimmten Umständen Cross-Site-Scripting-Angriffe durch Editor-Eingaben [...]

2020-07-25T09:56:44+02:00Juli 25th, 2020|CMS, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Updates gegen kritische Lücken in drei Modulen von Drupal

Kritische Lücken in Drupal-Modulen

Zwei Sicherheitslücken in den Modulen reCaptcha v3 und Webform machen Angriffe auf mit dem Content Management System (CMS) Drupal 8.x erstellte Internetseitem angreifbar. Deshalb haben die Drupal-Entwickler das Sicherheitsrisiko als "kritisch" bewertet. Inzwischen sind aber abgesicherte Versionen sind verfügbar. Die reCaptcha-Lücke Wegen einer fehlenden Überprüfung könnten kriminelle Angreifer nach einer erfolgreich gelösten reCaptcha-v3-Abfrage entweder ungültige oder unvollständige Formulare auf den Server übertragen. Wo genau das Ziel eines solchen Angriffs liegt, führt Drupal in seiner Sicherheitswarnung dazu leider nicht weiter aus. Die abgesicherte Versiondes CMS trägt die Versionsnummer 8.x-1.2. Die Webforms-Lücke Ein ähnlicher Fehler im Modul Webforms führt dazu, dass Angreifer auf eigentlich unveröffentlichte Informationen zugreifen könnten. Hier schließt die Version 8.x-5.12  die zweite Sicherheitslücke in dem beliebten CMS. Weitergehende Informationen zu den Sicherheitslücken gibt Drupals Security Advisory: reCAPTCHA v3 - Critical - Access bypass - SA-CONTRIB-2020-019 Critical - Access bypass - SA-CONTRIB-2020-018

2020-05-15T10:06:13+02:00Mai 15th, 2020|Coding, Sicherheit, Webwerkzeuge|Kommentare deaktiviert für Kritische Lücken in Drupal-Modulen

Drupal-Module anfällig für Angriffe

Sollten Sie das Content Management System (CMS) Drupal mit einem der Module "Menu Item Extra" oder "Workflow" benutzen, sollten Sie die beiden Module dringend auf den aktuellen Stand bringen. Denn sonst könnten böswillige Angreifer Internetseiten, die mit dem CMS gebaut wurden, erfolgreich angreifen. Vom Notfallteam des Bundesamt für Sicherheit in der Informationstechnik CERT Bund wurde das Angriffsrisiko als "hoch" eingestuft. Details zu möglichen Angriffen Weil es in beiden Modulen an Überprüfungen der Eingaben fehlt, könnten Angreifer sowohl CSRF- als auch XSS-Attacken durchführen. Für einen erfolgreichen Angriff müssten sie aber je nach Modul über die Berechtigungen "administrator nodes", "administrator menu" oder "administrator workflow" verfügen. Weiter e Infos zu den Lücken erläutern die Entwickler in zwei Sicherheitswarnungen zu Menu Item Extras und Workflow. Abhilfe schafft die Installation der aktuellsten Versionen Menu Item Extras 8.x-2.5 für Drupal 8.x und Workflow 7.x-2.12 für Drupal 7.x.

2019-05-24T17:28:13+02:00Mai 24th, 2019|CMS, Coding, Webwerkzeuge|Kommentare deaktiviert für Drupal-Module anfällig für Angriffe
Nach oben