Alert!

Sicherheitsupdate: Hochgeladene Archive können Drupal-Websites gefährlich werden

Mit dem Content Management System Drupal erstellte Websites sind angreifbar. Aktualisierte Versionen schaffen die Sicherheitsprobleme aus der Welt.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen
Von
  • Dennis Schirrmacher

Admins, die Drupal-Websites betreuen, sollten das Content Management System (CMS) auf den aktuellen Stand bringen. Mehrere Sicherheitslücken gelten als "kritisch". Abgesicherte Ausgaben des CMS stehen zum Download bereit.

Am gefährlichsten gelten Schwachstellen in der Dritt-Anbieter-Bibliothek Archive_Tar, die auch bestimmte Drupal-Konfigurationen betreffen. Ist der Upload von Archiven (.tar, .tar.gz, .bz2, .tlz) erlaubt, kann es bei der Verarbeitung zu Problemen kommen. Was Angreifer dann konkret machen können, geht aus einer Warnung der Drupal-Entwickler nicht hervor. Aufgrund der kritischen Einstufung liegt die Ausführung von Schadcode nahe.

Die weiteren Lücken gelten als "moderat kritisch". Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie Zugangskontrollen umgehen oder Websites via DoS-Attacken aus dem Verkehr ziehen. Hier liegen die Fehler in der allgemeinen Upload-Funktion und im Media-Library-Modul. In den Sicherheitswarnungen finde man weitere Infos zu den Lücken. Bislang sind dort aber noch keine CVE-Nummern vergeben.

Die Drupal-Entwickler haben die Sicherheitslücken in den Versionen 7.69, 8.7.11 und 8.8.1 geschlossen. Für ältere Ausgaben als 8.7.x ist der Support ausgelaufen und sie bekommen keine Sicherheitsupdates mehr.

Liste nach Bedrohungsgrad absteigend sortiert:

(des)