Sicherheitsupdate für Drupal

SicherheitSicherheitsmanagement

Sowohl 5er- als auch 6er-Entwicklungszweig des CMS haben ein Update erhalten, mit dem verschiedene Bugs gefixt und zwei Sicherheitslecks abgedichtet werden.

Drupal steht ab sofort in den Versionen 5.17 und 6.11 zum Download bereit, wer auf die Bugfixes verzichten will, kann aber auch zum Patch greifen, der lediglich die Sicherheitslücken schließt. Dabei handelt es sich um ein Cross-Site-Scripting-Leck (XSS), das offenbar nur beim Internet Explorer auftritt, dessen 6er- und 7er-Versionen in einigen Fällen UTF8-kodierte Zeichen als UTF7 interpretieren. Dazu kommt ein Leck, das für Cross-Site Request Forgery Angriffe (CSRF) genutzt werden kann – in einigen Fällen soll es möglich sein, beim Abschicken von Forumlaren die Eingaben an eine andere Seite umzuleiten.

Die neuen Versionen des CMS beheben auch einige Bugs und verbessern Stabilität und Performance. Letzteres gilt vor allem für Drupal 6.11, bei dem man verschiedene Probleme im Cache bereinigt hat. (Daniel Dubsky)