Neben Wordpress und Joomla ist Drupal wohl eines der bekanntesten und beliebtesten Contentmanagement-Systeme, welche kostenfrei erhältlich sind. Natürlich ist durch die hohe Verbreitung von solchen Systemen leider auch das Interesse von kriminellen Hackern immer wieder besonders ausgeprägt. So hat auch Drupal wieder einmal mit kritischen Lücken zu kämpfen.
Mehrere kritische Drupal-Securitylecks!
Eine der Lücken kommt durch das OpenID-Modul zustande. Es erlaubt einem Anwender mit bösen Absichten, sich auch als Administrator einzuloggen.
Damit kann der böse User natürlich viel Unheil anrichten. Er ist in der Lage, andere bestehende Accounts einfach zu übernehmen.
Dazu muss das Opfer nur einen Account bei einem OpenID-Provider wie zb. Verisign, LiveJournal, oder StackExchange verwalten lassen. Auch Accounts über andere OpenID-Provider machen die Sache leider nicht sicherer.
Man muss kein Prophet sein um festzustellen, dass es sich hier um eine äußerst kritische Lücke handelt. Betroffen von diesem Problem sind die Drupal-Versionen 6 und 7.
Ein weiteres nicht ganz so kritisches Problem betrifft nur Drupal 7. Es geht um Open Redirect, also um Umleitungen. Dazu verwendet das Field UI-Modul in URL´s einen Query-String-Parameter für das Ziel, um Anwender auf diversen Administrationsseiten nach einer abgeschlossenen Aktion entsprechend umzuleiten.
Unter Umständen könnte ein bösartiger User diesen String-Parameter nutzen, um auf eine andere URL zu leiten. So gelangt man möglicherweise auf gefährliche und Schadcode verbreitende Websites. Dieses Problem tritt nicht auf, solange das Field UI-Modul nicht aktiviert ist.
Ein ähnliches Leck kommt durch das Overlay-Modul zustande. Es zeigt mit JavaScript administrative Seiten als über eine Seite gelegte Layer an. So muss für bestimmte Verwaltungsaufgaben nicht eine neue Seite geladen werden.
Leider prüft dieses Overlay-Modul nicht hinreichend URL´s, bevor es Inhalte anzeigt. Somit führt auch das zu einem Open Redirect Problem, sofern eben das Overlay-Modul überhaupt aktiviert wurde.
Schließlich bereitet auch noch das Render-Cache-System in Drupal 7 Kopfschmerzen. Eigentlich sinnvoll, werden Inhalte zwischengespeichert. Allerdings kann so der eigentlich private und geschützte Inhalt eines Users über den Zwischenspeicher auch Anwendern ohne nötige Zugriffsrechte vor Augen kommen.
Anstatt betroffende Module zu deaktivieren ist die beste Lösung natürlich ein Upgrade. Hierfür wird Drupal 6 und 7-Anwender jeweils eine eigene neue Version angeboten, welche die Sicherheitslücken beseitigt.
Die aktuellen Versionen tragen die Bezeichnung "drupal 7.38" und "drupal 6.36" und können auf der Drupal Downloadseite als Tar-Ball oder Zip heruntergeladen werden.