Gestern erschien eine neue, sogenannte Maintenance-Version für Drupal 7 und Drupal 8. Wer Drupal im Einsatz hat, sollte schnell auf die neuste Version updaten.
Drupal 8.3.7 is out https://t.co/p0f4EdmLYm It fixes 3 security issues #drupal #security #update
— Drupal Security (@drupalsecurity) 16. August 2017
Mit dem Update werden drei Sicherheitslücken geschlossen, die vom Drupal Sicherheitsteam als „moderat“ und „kritisch“ eingestuft worden sind:
- Views (betrifft Drupal 7 und 8)
Bei der Erstellung von Views kann Ajax verwendet werden. Damit werden angezeigte Daten gemäß Filterparameter aktualisiert. Allerdings war der Zugriff nicht begrenzt auf diesen View, so dass mehr Inhalte abgerufen werden konnten als der Programmierer wollte. - REST API
Bei der Verwendung der REST API konnten User ohne Berechtigung Kommentare posten. Dies trat nur auf, wenn die Schnittstelle aktiviert ist und anonym Kommentare gepostet werden dürfen bzw. ein Angreifer weitere Informationen eines berechtigten Users kennt. - Entities
Kritisch war eine Lücke, mit der man Kontrolle über das sogenannte Entity-System in Drupal 8 gewinnen konnte. Damit waren unter Umständen Inhalte durch unberechtigte Personen kontrollierbar.
Betroffen sind Drupal-Installationen unter der Zweig 8 vor Version 8.3.7 sowie unter Zweig 7 vor Version 7.x-3.17.
Drupal ist ein modular aufgebautes, sehr gut erweiterbaren und anpassbares Content Management System, das bei goneo auch als clickStart-Anwendung verfügbar ist. Das heißt, bei goneo lässt sich Drupal – wie auch viele weitere poluläre Webanwendungen – schnell und einfach installieren.