Drupal: Sicherheitsupdate jetzt installieren!
Für das Open-Source-CMS Drupal gibt es das erste Sicherheitsupdate des Jahres. Die Entwickler empfehlen Admins, so schnell wie möglich auf die neue Version umzusteigen.
(Bild: Drupal)
- Fabian A. Scherschel
Mit ihrem ersten Sicherheitsupdate für dieses Jahr stopfen die Drupal-Entwickler drei Sicherheitslücken im Open-Source-CMS. Eine der Lücken schätzen sie als kritisch ein, eine zweite kann unter Umständen dazu führen, dass Angreifer Schadcode auf betroffenen Servern ausführen können. Die Entwickler empfehlen Admins, das Sicherheitsupdate so schnell wie möglich einzuspielen.
Das Drupal-Core-Update auf Version 8.2.7 schließt drei Lücken:
- Wegen eines Programmierfehlers konnten Text-Editoren in Drupal private Dateien verwenden, deren Zugriff eigentlich auf bestimmte Nutzer beschränkt sein sollte (CVE-2017-6377). Diese Lücke schätzen die Entwickler als kritisch ein.
- Einige Admin-Seiten des CMS waren unzureichend gegen Cross-Site-Request-Forgery (CSRF) abgesichert. So konnten Angreifer unter bestimmten Umständen Zugriff auf geschützte Content-Blöcke erlangen (CVE-2017-6379).
- Drupal-Nutzer haben unter Umständen eine Entwickler-Bibliothek installiert, über die Angreifer aus der Ferne Schadcode auf dem Server ausführen können. Allerdings sollten die standardmäßigen Schutzmechanismen der .htaccess-Datei von Drupal und serverseitige Einschränkungen beim Ausführen von PHP-Dateien diesen Angriff verhindern. Das Update schließt diese Lücke (CVE-2017-6381). Nutzer von Drupal-Versionen, die älter als 8.2.2 sind, könnten trotzdem betroffen sein. Sie sollten das Verzeichnis /vendor/phpunit von Hand entfernen.
Drupal-Admins erhalten das Sicherheitsupdate auf Drupal 8.2.7 sowie weitere Details zu den geschlossenen Lücken über die Sicherheitsmeldung auf der Drupal-Webseite. (fab)
