zurück zum Artikel

Update installieren: Drupal-Lücke erlaubt abermals Website-Übernahme

Alert! Dirk Knop
Aufmacher Drupal-Updte schließt Sicherheitslücken

(Bild: Shutterstock/chanpipat)

Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen Angreifern, verwundbare Drupal-Installationen zu kompromittieren. Updates dichten die Lücken ab.

In dem Content-Management-System Drupal kommt die Komponente Guzzle zum Einsatz, in der die Entwickler zwei Sicherheitslücken geschlossen haben. Laut der US-amerikanischen Cyber-Sicherheitsbehörde CISA könnten Angreifer die missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert mit aktualisierten Paketen, in denen es die Schwachstellen behebt.

Schwachstellen in Guzzle

"Cookie"-Header als Antworten auf Anfragen an den Server transportieren sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise solche Informationen weiterreichen, wenn der Server die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko "hoch"). "Authorization"-Header enthalten ebenfalls vertrauliche Daten. Dasselbe Fehlverhalten wie mit den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch).

In ihrer Sicherheitsmeldung schreiben die Drupal-Entwickler [1], dass die Lücken den Drupal-Kern nicht betreffen würden, jedoch potenziell Dritthersteller-Module und eigene Code-Erweiterungen. Dennoch stufen sie die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außerhalb der üblichen Reihe herausgeben.

Die CISA warnt ebenfalls vor den Sicherheitslücken [2] und empfiehlt Administratoren, die Hinweise in der Drupal-Sicherheitsmeldung zu prüfen und die aktualisierten Pakete zu installieren. Betroffen sind Drupal 9.2, 9.3 sowie 9.4. Die Updates auf die Versionen 9.2.21, 9.3.16 sowie 9.4.0-rc2 bügeln die sicherheitskritischen Fehler aus. Laut der Releasenotes enthalten die neuen Fassungen ausschließlich die Sicherheitsfixes.

Gerade erst zwei Wochen sind vergangen, seit andere Schwachstellen in der Guzzle-Komponente [3] die Sicherheit von Drupal-Installation gefährdeten. Auch da warnte bereits die CISA und empfahl, die Updates anzuwenden.

(dmk [4])

URL dieses Artikels:
https://www.heise.de/-7140306

Links in diesem Artikel:
[1] https://www.drupal.org/sa-core-2022-011
[2] https://www.cisa.gov/uscert/ncas/current-activity/2022/06/13/drupal-releases-security-updates
[3] https://www.heise.de/news/Content-Management-System-CISA-warnt-vor-Sicherheitsluecke-in-Drupal-7127268.html
[4] mailto:dmk@heise.de

Copyright © 2022 Heise Medien