Kurznachrichten

Das Drupal Security Team hat Anfang letzter Woche über eine Sicherheitslücke informiert (Advisory ID: DRUPAL-PSA-2016-003), die als kritisch eingestuft wird. Es wurden vermehrt Attacken gegen fehlkonfigurierte Websites festgestellt.

Die Schwachstelle betrifft Websites, die das Hochladen von Dateien anonymen, bzw. nicht überprüften Benutzern ermöglichen und diese Dateien nicht im private file system gespeichert werden. Die meisten Meldungen berichten über Probleme mit dem Webform-Modul, andere Module sind aber genauso anfällig. Das Team hat ein Workaround bereitgestellt, damit Drupal-Administratoren die Fehlkonfiguration beheben können.

Kurz nach dem Release von Drupal 8.2.0 am 5. Oktober 2016 wurde die minor Version 8.2.1 mit ein paar kleineren Bugfixes nachgereicht. Drupal 8.2.0 enthält zusätzliche experimentelle Module, um Blocks auf eine Seite zu platzieren, Inhalte feiner granuliert im Frontend zu moderieren (zum Beispiel das Setzen der Status Entwurf, Archiviert und Veröffentlicht) sowie Datumsbereiche zu nutzen. Neben semantischer Versionierung, weiteren Autorenwerkzeugen und sonstigen Verbesserungen, wurden REST und die Developer API optimiert.

Von den 3 Sicherheitslücken werden 2 als kritisch und 1 als weniger kritisch eingestuft. Betroffen sind alle Drupal-Versionen 8.x. Details zu den Schwachstellen finden Sie in der news des Drupal Security Teams.