Sicherheitsupdates: Kritische Lücken gefährden Drupal-Websites

Das Content Management System Drupal ist über zwei Schwachstellen angreifbar. Abgesicherte Versionen sind verfügbar.

In Pocket speichern vorlesen Druckansicht 12 Kommentare lesen
Drupal-Lücken
Lesezeit: 2 Min.

Betreiber von Websites, die auf Drupal fußen, sollten aus Sicherheitsgründen auf eine aktuelle Ausgabe aktualisieren. Das sollte zügig geschehen: Die zwei Lücken sind mit dem Bedrohungsgrad "kritisch" eingestuft. In beiden Fällen könnte Angreifer Schadcode in das CMS schieben und ausführen. In so einem Fall gilt eine Website in der Regel als komplett kompromittiert.

Die Lücke mit der Kennung CVE-2018-1000888 findet sich einer Warnung der Drupal-Entwickler zufolge in der Third-Party-Bibliothek PEAR Archive_Tar. Aufgrund von Fehlern bei Dateioperationen könnten Angreifer Dateien modifizieren oder sogar eigenen Code ausführen.

Eine Macke im Phar Stream Wrapper von PHP kann ebenfalls zu Remote Code Execution führen. Ein Übergriff soll aber nur mit untypischen Konfigurationen des CMS erfolgreich sein. Derzeit führen die Drupal-Entwickler das in der Meldung zur Lücke nicht weiter aus. Sie weisen aber darauf hin, dass der reparierte Stream Wrapper erst mit PHP 5.3.3 kompatibel ist. Drupal 7 setzt jedoch ältere PHP-Versionen ein. Drum deaktiviert die aktuelle Drupal-7-Ausgabe den Wrapper.

Die Drupal-Entwickler geben an, dass sie die Lücken in den Versionen 7.62, 8.5.9 und 8.6.6 geschlossen haben. Alle vorigen Ausgaben sind bedroht. Ältere Ausgaben vor 8.5.x haben das Supportende erreicht und bekommen keine Sicherheitsupdates mehr.

Bei Admins, die Drush (Drupal Shell) zum Verwalten des CMS nutzen, könnte es beim Aktualisieren zu Fehlern kommen, führt Drupal in einem Beitrag aus, wo sich Nutzer zu dem Problem und einer Lösung austauschen.

Laut Statistiken vom Analysedienst W3Techs setzen rund 2 Prozent aller Websites auf Drupal. Bei fast 80 Prozent davon kommt noch Version 7 zum Einsatz. (des)