Drupal 7.16 behebt Sicherheitslücken

In der neusten Version von Drupal 7 wurden zwei Sicherheitslücken behoben. Die eine betrifft das OpenID Modul, hier bestand die Gefahr das jemand, beim Versuch sich über einen bösartigen OpenID Server einzuloggen, der Angreifer Zugriff auf lokale Dateien erhalten könnte. Die andere Lücke erlaubte es Angreifern bei bestimmten Konfigurationen über den Installations-Assistent eine externe Datenbank einzubinden und so Code auszuführen. Diesbezüglich wird empfohlen die Systembenutzer von Webserver und Drupal-Installation zu trennen um zu vermeiden das der Webserver uneingeschränkt Zugriff auf z.B. die settings.php Datei bekommt, die bei der Installation beschreibbar sein muss. Die Lücken betreffen alle Drupal Versionen vor Drupal 7.16, ein Update wird dringend empfohlen.

Download und Update

Den aktuellen Download von Drupal 7.16 findet man unter https://drupal.org/drupal-7.16