Durch eine Schwachstelle in einer Dritthersteller-Bibliothek hätte das CMS Drupal Angreifern ermöglichen können, die Kontrolle über das System zu erlangen. Updates stehen bereit, die das Problem beheben.
Drupal liefert die Komponente Guzzle mit, die HTTP-Anfragen und -Antworten mit externen Diensten abwickelt. Die Guzzle-Entwickler haben eine Sicherheitslücke beim Verarbeiten von Headern in der Bibliothek abgedichtet, durch die Angreifer New-Line-Zeichen und nicht vertrauenswürdige Werte einschmuggeln hätten können. Das Risiko schätzen die Guzzle-Maintainer in ihrer Sicherheitsmeldung als niedrig ein.
In dem Security Advisory der Drupal-Entwickler stufen diese das Risiko der Schwachstelle als mittel ein. Sie betrifft Drupal vor den Versionen 9.3.9 und 9.2.16 sowie den 8er-Zweig, der jedoch am End-of-Life (EOL) angelangt ist. Daher gibt es für Drupal 8 keine Aktualisierung mehr; Nutzer der alten Version sollten dringend auf eine unterstützte Version umsteigen. Drupal 7 bleibt hingegen von der Sicherheitslücke verschont.
Aktualisierung jetzt installieren
Die US-amerikanische Cyber-Sicherheitsbehörde CISA erläutert die Auswirkungen des Sicherheitslecks. Angreifer könnten die Schwachstelle ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Sie stuft die bereitstehenden Aktualisierungen daher als „benötigt“ ein. Wie ein konkreter Angriff aussehen würde, etwa eine manipulierte HTTP-Anfrage, die die Sicherheitslücke missbraucht, erläutert jedoch keine der involvierten Parteien genauer.
In den Release Notes drängen die Drupal-Entwickler Nutzer und Administratoren dazu, die Aktualisierung unmittelbar zu installieren. Die fehlerbereinigten Versionen 9.3.9 sowie 9.2.16 stehen auf der Webseite des Projekts zum Herunterladen bereit.
(dmk)