Die Drupal-Entwickler weisen mittels Fehlerbericht auf eine mögliche SQL-Injection-Sicherheitslücke im Programm hin. Es handelt sich um die Funktion taxonomy_select_nodes, die ungeprüfte Variablen in SQL-Queries einfügt. Mit präparierten Variablenwerten können Angreifer Befehle an die Datenbank weiterleiten, um geschützte Daten auszulesen oder Daten zu manipulieren.Das Taxonomy-Modul überprüft die Inhalte zuvor, es kann aber bei Modulen anderer Hersteller zur Übergabe ungeprüfter Parameter kommen. Laut dem Fehlerbericht sind die
Module taxonomy_menu, ajaxLoader und ubrowser betroffen. Die verwundbaren Drupal-Versionen sind alle Versionen vor 4.7.9 und vor 5.4.
Die entsprechenden Updates beheben die Probleme.
zurück zur Übersicht | Szene.News eintragen
Kommentare
Noch keine Kommentare vorhanden.
Kommentar anfügen
