Das Sicherheitsunternehmen Sophos warnt vor mehreren Sicherheitsproblemen im Content Management System (CMS) Drupal, die unter anderem den Zufallszahlen-Generator der Software betreffen.
Die Entwickler benutzten die PHP-Funktion mt_rand()
, um Zufallszahlen für Drupals Krypto-Module zu erzeugen. Der dabei gemutzte Zufallszahlen-Generator ist für kryptografische Zwecke aber ungeeignet, denn seine Seeds lassen sich in unter drei Minuten knacken.
Viele der Probleme treffen beide aktuell gepflegten Release-Serien Drupal 6 und 7. Die Lücken wurden von den Entwicklern schonmit zwei Updates geschlossen. Administratoren von Drupal-Systemen sollten jetzt dringend updaten.