Drupal-Update schiebt Session-Klau den Riegel vor

Posted on Posted in Hacker News

Die Entwickler des Open-Source CMS haben zwei Sicherheitslücken in Drupal 6 und 7 geschlossen. Die Schwachstellen können missbraucht werden, um Sessions angemeldeter Benutzer zu stehlen und um den Server lahmzulegen.

Administratoren, die Webseiten mit Drupal betreiben, sollten ein Update einspielen, welches die Entwickler des Content Management Systems letzte Woche veröffentlicht haben (SA-CORE-2014-006). Das Update wird als “moderat kritisch” eingestuft und stopft zwei Sicherheitslücken – eine davon betrifft Drupal 7, die andere sowohl Drupal 6 als auch 7. Angreifbar sind alle Versionen, die älter als Drupal 6.34 beziehungsweise 7.34 sind.

Die schwerwiegendere Schwachstelle betrifft beide Versionen des CMS und kann zum Klau von Nutzer-Sessions verwendet werden. Durch einen speziellen Request kann der Angreifer eine zufällige Session eines anderen Nutzers übernehmen, inklusive dessen Benutzerrechten. Die Lücke, die nur in Drupal 7 auftritt, befindet sich in einer Passwort-Hashing-Funktion und kann dazu missbraucht werden, den Server durch CPU- und Speicherauslastung in die Knie zu zwingen. Angreifer brauchen dafür nicht bei Drupal angemeldet zu sein

Quelle: heise.de

Facebooktwittergoogle_plus

Leave a Reply