Die jüngsten Updates auf das Content Management System Drupal 6.29 beziehungsweise 7.24 schließen Sicherheitslücken. Security Advisory 2013-003 listet gleich sieben Stück von der Sorte auf:
- Lücken in der CSRF-Validierung
- Mögliche Vorhersage der Seeds des Zufallszahlengenerators
- Ausführung von unerwünschtem Code durch lückenhafete .htaccess-Konfiguration
- drupal_valid_token() konnte umgangen werden
- Image-Felder konnten für XSS-Attacken ausgenutzt werden
- Auch das Color-Modul konnte für XSS ausgenutzt weden
- Das Overlay-Modul war anfällig für Open Redirects, was gezinkte Admin-Seiten möglich machte
Details zum Patchen der Probleme entnimmt man am besten der Security-Meldung.
Weitere Änderungen betreffen das Formular-API, dessen Überarbeitung sich auf stark angepasste Implementierungen auswirken könnte. Bloße Bugfixes gibt es in diesem Update gar keine, was die Dringlichkeit unterstreicht.
Aufmacherbild: blackmail style von Shutterstock / Urheberrecht: Lars Hallstrom