Die jüngsten Updates auf das Content Management System Drupal 6.29 beziehungsweise 7.24 schließen Sicherheitslücken. Security Advisory 2013-003 listet gleich sieben Stück von der Sorte auf:

• Lücken in der CSRF-Validierung
• Mögliche Vorhersage der Seeds des Zufallszahlengenerators
• Ausführung von unerwünschtem Code durch lückenhafete .htaccess-Konfiguration
• drupal_valid_token() konnte umgangen werden
• Image-Felder konnten für XSS-Attacken ausgenutzt werden
• Auch das Color-Modul konnte für XSS ausgenutzt weden
• Das Overlay-Modul war anfällig für Open Redirects, was gezinkte Admin-Seiten möglich machte

Details zum Patchen der Probleme entnimmt man am besten der Security-Meldung.

Weitere Änderungen betreffen das Formular-API, dessen Überarbeitung sich auf stark angepasste Implementierungen auswirken könnte. Bloße Bugfixes gibt es in diesem Update gar keine, was die Dringlichkeit unterstreicht.

Aufmacherbild: blackmail style von Shutterstock / Urheberrecht: Lars Hallstrom