JARVIS
Das CMS Drupal wurde vor wenigen Tagen aktualisiert. In den aktuellen Zweigen 7.6, 8.5 und 8.6 gibt es mehrere Sicherheitsprobleme. In dem entsprechenden Security advisories werden gleich 5 Lücken beschrieben, die zum Teil kritisch sind.
Drupal 7.60 – 8.58 – 8.6.2 – Release Notes
- Content moderation – Moderately critical – Access bypass – Drupal 8
Unter bestimmten Umständen schlägt die Überprüfung auf Moderationsrechte fehl, sodass Benutzer mehr Rechte erhalten - External URL injection through URL aliases – Moderately Critical – Open Redirect – Drupal 7 and Drupal 8
Ein Fehler im Path-Modul erlaubt es Benutzern eine gefährliche URL einzugeben - Anonymous Open Redirect – Moderately Critical – Open Redirect – Drupal 8
Bei der Weiterleitung von Benutzern, nach bestimmten Aktionen, kann ein Angreifer diese Weiterleitung ausnutzen und Bentuzer auf eine andere Webseite leiten. - RedirectResponseSubscriber event handler removal
Die “\Drupal\Core\EventSubscriber\RedirectResponseSubscriber::sanitizeDestination” Klasse wurde entfernt, da sie unzureichend prüft und somit nicht für die notwenidge Sicherheit sorgt. - Injection in DefaultMailSystem::mail() – Critical – Remote Code Execution – Drupal 7 and Drupal 8
Die Prüfung von E-Mails ist nicht ausreichend, sodass Remote-Code-Execution möglich ist.
Interessiert in verschiedenste IT Themen, schreibe ich in diesem Blog über Software, Hardware, Smart Home, Games und vieles mehr. Ich berichte z.B. über die Installation und Konfiguration von Software als auch von Problemen mit dieser. News sind ebenso spannend, sodass ich auch über Updates, Releases und Neuigkeiten aus der IT berichte. Letztendlich nutze ich Taste-of-IT als eigene Dokumentation und Anlaufstelle bei wiederkehrenden Themen. Ich hoffe ich kann dich ebenso informieren und bei Problemen eine schnelle Lösung anbieten. Wer meinen Aufwand unterstützen möchte, kann gerne eine Tasse oder Pod Kaffe per PayPal spenden – vielen Dank.