Startseite
  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche
Startseite › Forum › Drupalcenter.de › Allgemeines zu Drupal ›

Einschätzung zum SA-CORE-2015-002

Eingetragen von t2k (258)
am 18.06.2015 - 12:56 Uhr in
  • Allgemeines zu Drupal

Hallo Forum!

Ich habe gestern die Dupal-Scurity-News erhalten.

Die Nachricht zum Core hat mich etwas verunsichert.
Ist ein Update eurer Einschätzung nach unbedingt erforderlich auch wenn man die unten aufgeführten Module nicht im Einsatz hat?

  • * Impersonation (OpenID module - Drupal 6 and 7): *CVE-2015-3234*
  • * Open redirect (Field UI module - Drupal 7): *CVE-2015-3232*
  • * Open redirect (Overlay module - Drupal 7: *CVE-2015-3233*
  • * Information disclosure (Render cache system - Drupal 7): *CVE-2015-3231*

Ist das "Render cache system"-Problem so schwerwiegend das ein Update erforderlich ist?

Danke für euren Rat und beste Grüße!

‹ [geloest] entity translation und views in panels Module und Theme Einstellungen werden überschrieben? ›
  • Anmelden oder Registrieren um Kommentare zu schreiben

Die Hürden zum Ausnutzen

Eingetragen von wla (9445)
am 18.06.2015 - 13:14 Uhr

Die Hürden zum Ausnutzen dieser Schwächen liegen doch etwas höher. Die Render cache Problematik ist in 99% der Fälle nicht gegeben. Auch die anderen Randbedingungen sind Für Drupal 7 meist nicht erfüllt. Von daher kannst Du dir mit dem Einspielen vermutlich etwas Zeit lassen. Andererseits ist es wichtig, daß bei festgestellten Schwächen eine Warnung und ein Update von Drupal bereitgestellt wird. Letztlich ist aber jeder selbst für seine Seite verantwortlich und muß entscheiden, wie schnell er Security Updates einspielt.

.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *

  • Anmelden oder Registrieren um Kommentare zu schreiben

Alle klar.Dann ist das ja

Eingetragen von t2k (258)
am 18.06.2015 - 18:33 Uhr

Alles klar.
Dann ist das ja nicht ganz so "critical" wie ich befürchtet habe.

Vielen Dank!

  • Anmelden oder Registrieren um Kommentare zu schreiben

Critical ist der Einsatz vom "OpenID module"

Eingetragen von C_Logemann (901)
am 18.06.2015 - 23:58 Uhr

Wo das im Einsatz ist, ist große Eile beim Update geboten, insbesondere wenn dies für Admin-Accounts oder gar dem user/1 im Einsatz ist. Auf Drupal-Sites, bei denen dieses Modul nicht aktiviert ist, gibt es auch kein Problem bezüglich der als kritisch eingestuften Lücke zu diesem Core-Modul.
Bleiben dann noch die anderen Lücken, die aber weniger kritisch sind: https://www.drupal.org/SA-CORE-2015-002

# DrupalCenter-Moderator # https://www.drupal.org/u/c-logemann
# CTO der Nodegard GmbH: Tech. Concepts | Security + Availability Operations / Wir unterstützen IT-Abteilungen, Agenturen, Freiberufler:innen

  • Anmelden oder Registrieren um Kommentare zu schreiben

Danke für den Nachtrag!

Eingetragen von t2k (258)
am 19.06.2015 - 12:27 Uhr

Das Modul ist aber keine Core-Modul, oder?

Hab das nicht aktiv/installiert.

Die anderen Meldungen betreffen ebenefalls nur Module die ich nicht nutze.

Danke für diese Info!!!

  • Anmelden oder Registrieren um Kommentare zu schreiben

Doch, das ist ein Core-Modul,

Eingetragen von wla (9445)
am 19.06.2015 - 16:59 Uhr

Doch, das ist ein Core-Modul, aber man muß es aktivieren, damit es Auswirkungen hat.

.
Werner
drupal-training.de
Moderator und Drupal Trainer
* - - - - - - - - - - - - - - - - - - - - - - - - - - - *

  • Anmelden oder Registrieren um Kommentare zu schreiben

Benutzeranmeldung

  • Registrieren
  • Neues Passwort anfordern

Aktive Forenthemen

  • D11
  • Liste verfügbarer Aktualisierungen
  • drupal-rector
  • Drupal Commerce 2 – nicht vorrätige Produkte in View ausblenden
  • gelöst - Gruppenwechsel in einer View
  • Views - Filter-Criteria: Abhängigkeit zwischen Taxonomy-Terms und Roles herstellen
  • Paragraphs und Library
  • Fehler 500 - Drupal 10.x Installation lost?
  • Suche Modul für automatische Übersetzung (inkl. Paragraphs)
  • Update von Drupal 10.2.2. auf welche Version?
  • [gelöst] D7 Layout kaputt - Worstcase & Zeitdruck
  • Drupal Update von 10.2.6 auf 10.4.0 funktioniert nicht
Weiter

Neue Kommentare

  • Debuggen muss(te) man auch bei Drupal <=7
    vor 7 Stunden 17 Minuten
  • Nächste Moderations-Verwarnung meinerseits
    vor 7 Stunden 42 Minuten
  • Liste verfügbarer Aktualisierungen
    vor 10 Stunden 24 Minuten
  • Ja damit lassen sich custom
    vor 13 Stunden 24 Minuten
  • Mir wurde es im Rahmen eines
    vor 14 Stunden 57 Minuten
  • Wie installierst Du denn die
    vor 15 Stunden 52 Minuten
  • Was genau willst Du denn
    vor 15 Stunden 53 Minuten
  • ich habe eine Lösung gefunden
    vor 1 Tag 17 Stunden
  • Danke für den Hinweis. Ich
    vor 2 Tagen 17 Stunden
  • Also am einfachsten wäre wohl
    vor 3 Tagen 12 Stunden

Statistik

Beiträge im Forum: 249773
Registrierte User: 20051

Neue User:

  • Rhetaelemy
  • schriftenfuzzi
  • Kordikwar

» Alle User anzeigen

User nach Punkten sortiert:
wla9445
stBorchert6003
quiptime4972
Tobias Bähr4019
bv3924
ronald3854
md3717
Thoor3678
Alexander Langer3416
Exterior2903
» User nach Punkten
Zur Zeit sind 0 User und 3 Gäste online.

Hauptmenü

  • » Home
  • » Handbuch & FAQ
  • » Forum
  • » Übersetzungsserver
  • » Suche

Quicklinks I

  • Infos
  • Drupal Showcase
  • Installation
  • Update
  • Forum
  • Team
  • Verhaltensregeln

Quicklinks II

  • Drupal Jobs
  • FAQ
  • Drupal-Kochbuch
  • Best Practice - Drupal Sites - Guidelines
  • Drupal How To's

Quicklinks III

  • Tipps & Tricks
  • Drupal Theme System
  • Theme Handbuch
  • Leitfaden zur Entwicklung von Modulen

RSS & Twitter

  • Drupal Planet deutsch
  • RSS Feed News
  • RSS Feed Planet
  • Twitter Drupalcenter
Drupalcenter Team | Impressum & Datenschutz | Kontakt
Angetrieben von Drupal | Drupal is a registered trademark of Dries Buytaert.
Drupal Initiative - Drupal Association