CMS: Sicherheitslücken in Drupal zwingen zum Update

Gleich vier schwerwiegende Sicherheitslücken bestehen aktuell im Content Management System Drupal der Version 7. Eine davon ermöglicht sogar das Kapern der Administratorkonten. Daher wird den Betreibern von Drupal-Websites dringend geraten, die aktuellen Updates einzupflegen.

Die schwerwiegendste Sicherheitslücke erlaubt einen Angriff über das OpenID-Modul und damit den Zugriff auf die Administratorkonten. Damit erhält der Angreifer volle Rechte auf der Drupal-Seite und kann so sämtliche Daten auslesen, speichern und ändern. Zwei weitere Lücken ermöglichen das Umleiten von Besuchern auf andere Websites, ohne dass dies angezeigt wird. Über die vierte Sicherheitslücke lassen sich die Rechte von Nutzergruppen umgehen, so dass bestimmte Informationen in die Hände Unbefugter geraten können.

Während die drei letztgenannten Sicherheitslücken nur bei Drupal 7 bestehen, ist der Angriff über das OpenID-Modul auch bei Drupal 6 möglich. Die Entwickler haben aber bereits ein Update zur Verfügung gestellt, das die Schwachstellen behebt. Den Website-Betreibern wird daher geraten, Drupal auf Version 7.38 oder Version 6.36 zu aktualisieren.