Sophos warnt
vor einer Reihe von Sicherheitsproblemen im Content Management System
(CMS) Drupal, welche unter anderem den Zufallszahlen-Generator der
Software betreffen. Die Entwickler hatten die PHP-Funktion mt_rand()
benutzt, um Zufallszahlen für die Krypto-Module des CMS zu erzeugen.
Der dabei zum Einsatz kommende Zufallszahlen-Generator ist für
kryptografische Zwecke allerdings ungeeignet, seine Seeds lassen sich in weniger als einer Minute knacken.
Viele der Probleme betreffen beide der aktuell gepflegten
Release-Serien Drupal 6 und 7. Die Lücken wurden von den Entwicklern
bereits mit zwei Updates geschlossen.
Quelle: heise
