Beliebtes Open-Source Content-Management-System freigegeben Drupal seine neue Versionen 6.36 und 7.38 dass ein Verzeichnis der Schwachstellen. Eine dieser Schwachstellen zeigt sich signifikant zu sein, wie es dem Angreifer verwandelt sich in die Administratorkonten übernimmt.
CVE-2015-3234 in OpenID-Modul
Das Drupal-Sicherheitsteam wies in beratendem darauf hin, dass CVE-2015-3234 im OpenID-Modul gefunden wurde. Das Modul ermöglicht den Zugriff auf einen böswilligen Benutzer die Seite wie andere Benutzer eingeben, auch als Administratoren, und Hijacker ihre Konten. Die CVE-2015-3234 Fehler werden durch die Tatsache versöhnt, dass das Opfer ein Konto mit einem identifizierten OpenID-Status von einem bestimmten Satz von OpenID-Provider haben muss wie Verisign, LiveJourna oder Stack.
Experten haben auch gefunden Drei andere, weniger kritische Fehler in Drupal-Versionen
Einer von ihnen ist Fehler CVE-2015-3232. Es geht um Websites, die Drupal verwenden 7 Feld-ID-Modul. Betroffene Websites von dieser Sicherheitsanfälligkeit umleiten Nutzer auf potenziell bösartige Website Dritter nach einer Aktion auf Administrator Seiten Garaus. Diese Sicherheitsanfälligkeit wirkt sich nicht auf Drupal 6 sondern verwendet eine ähnliche offene Umleitung Fehler, der den Content Construction Kit beinhaltet (CCK).
Ein weiterer Fehler ist, CVE-2015-3233. Sie bezieht sich auf schwache Validierungsprüfungen im Deckelmodul für Websites auf eine andere offene direkte Loch durch, die die ‚Zugriff auf die Verwaltungs Overlay aktiviert haben’ Berechtigung, die Seiten wie JavaScript decken.
Die letzte Sicherheitslücke CVE-2015-3231 genannt und könnte sensible Daten verstecken, die für einen nicht-privilegierten primären Benutzer sichtbar bleibt (Benutzer 1). CVE-2015-3231 ist in einem Informationserfassungsloch in Drupal 7. Es wirkt sich nur auf Websites, die den Render-Cache-Modul oder identischen benutzerdefinierten Code verwenden, so dass das Risiko aus diesem Loch ist nicht so alarmierend. Das System erkennt zugewiesener Benutzer 1 als Nicht-Admin-Konto und erfordert unterschiedliche Standardkonfiguration machen.
Drupal Entwickler-Team berät Anwender Drupal-Versionen zu aktualisieren 6.36 und 7.38.