Die Entwickler des CMS Drupal, haben ein Sicherheitsupdate für die Versionen 7, 8.5 und 8.6 veröffentlicht. Das Risiko der 4 Sicherheitslücken für das CMS, wurde als moderat eingestufte.

Wußten Sie schon dass sie Drupal bei Purwin-IT im Hosting Paket erhalten.

Die erste Lücke, SA-CORE-2019-006, betrifft die freie JavaScript Bibliothek, jQuery. Diese wird von vielen Websystemen verwendet und enthält eine Schwachstelle bei der Überprüfung von bestimmten Befehlen wie jQuery.extend(true, {}, ...). Auch Drupal setzt sie ein, ebenso einige Module. Mittels Cross-Site-Scripting kann ein Angreifer diese ausnutzen.

Details finden Sie unter: https://www.drupal.org/sa-core-2019-006

Drei weitere Lücken sind im SA-CORE-2019-005 beschrieben. Diese betreffen unzureichende Prüfung von Messages und Service IDs durch Benutzereingaben, sowie die Ausnutzung eines Fehlers bei der Setzung von Cookies. Letztes ermöglicht einen Angreifer, ein Cookie umzuschreiben um sich so als ein anderer Benutzer zu authentifizieren, sofern die "Remember Me" Option genutzt wird.

Details finden Sie unter: https://www.drupal.org/sa-core-2019-005

Die Patches sollten umgehen installiert werden.

Purwin-IT hat betroffene Kunden informiert und führt das Update gemäß Wartungsverträge durch.