Drupal wappnet sich gegen httpoxy-Angriffe
Eine neue Drupal-Version soll immun gegen das Belauschen über die httpoxy-Schwachstelle sein.
![Drupal wappnet sich gegen httpoxy-Angriffe](https://heise.cloudimg.io/width/600/q85.png-lossy-85.webp-lossy-85.foil1/_www-heise-de_/imgs/18/1/8/5/5/6/6/4/drupal_httpoxy-bbad52772e061e57.png)
Die Entwickler des Content Management Systems (CMS) Drupal haben die Version 8.1.7 veröffentlicht. In dieser haben sie eigenen Angaben zufolge die httpoxy-Schwachstelle geschlossen. Sie stufen die Lücke in einer Sicherheits-Warnung als besonders kritisch ein.
Angreifer können an der httpoxy-Schwachstelle ansetzen, um unter gewissen Umständen Datenverkehr umzuleiten und mitzulesen. Nutzer der Drupal-Version 7.x sollen nicht direkt davon bedroht sein. Die Entwickler weisen aber auf mögliche Konstellationen mit gefährdeter Software von Drittanbietern hin. Drupal 8 sei direkt betroffen, da diese Version die für die Lücke anfällige PHP-Bibliothek Guzzle enthält, erläutern die Entwickler.
Das Sicherheits-Problem wurde bereits im März 2001 entdeckt. Erst kürzlich stieß die Software-Entwicklungs-Firma Vend erneut auf die Schwachstelle und analysierte sie tiefgehend. (des)