Open Source im professionellen Einsatz

Drupal-Update schließt Sicherheitslücken

17.08.2017

Die Entwickler des Content Management Systems Drupal haben ein Update für die Version 8 veröffentlicht, das eine schwerwiegende Sicherheitslücke und zwei weniger gefährliche schließt.

102

Das Update sollten Anwender deshalb dringend einspielen, mahnen die Drupal-Macher in ihrer Ankündigung. Die Drupal-Version 8.3.7 steht zu diesem Zweck bereit. Betroffen sind laut dem Projekt alle Versionen des 8er-Zweigs

Die kritische Lücke (CVE-2017-6925) steckt im Entity-Access-System. Angreifer könnten darüber Entitäten erstellen, updaten oder löschen. Betroffen seien nur Objekte, die keine UUIDs nutzen und solche, die unterschiedliche Revisionen derselben Entität nutzen. Als weniger kritisch ist eine Lücke beschrieben, die über das Rest-API nutzbar ist. Über diese Sicherheitslücke lassen sich unter Umständen Kommentare über Rest posten, ohne dass dafür die Berechtigungen vorliegen.

Ähnliche Artikel

comments powered by Disqus

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.