Sicherheitsupdate: Hochgeladene Archive können Drupal-Websites gefährlich werden

Admins, die Drupal-Websites betreuen, sollten das Content Management System (CMS) auf den aktuellen Stand bringen. Mehrere Sicherheitslücken gelten als "kritisch". Abgesicherte Ausgaben des CMS stehen zum Download bereit.

Am gefährlichsten gelten Schwachstellen in der Dritt-Anbieter-Bibliothek Archive_Tar, die auch bestimmte Drupal-Konfigurationen betreffen. Ist der Upload von Archiven (.tar, .tar.gz, .bz2, .tlz) erlaubt, kann es bei der Verarbeitung zu Problemen kommen. Was Angreifer dann konkret machen können, geht aus einer Warnung der Drupal-Entwickler nicht hervor. Aufgrund der kritischen Einstufung liegt die Ausführung von Schadcode nahe.

Die weiteren Lücken gelten als "moderat kritisch". Nutzen Angreifer die Schwachstellen erfolgreich aus, könnten sie Zugangskontrollen umgehen oder Websites via DoS-Attacken aus dem Verkehr ziehen. Hier liegen die Fehler in der allgemeinen Upload-Funktion und im Media-Library-Modul. In den Sicherheitswarnungen finde man weitere Infos zu den Lücken. Bislang sind dort aber noch keine CVE-Nummern vergeben.

Abgesicherte Versionen sind verfügbar

Die Drupal-Entwickler haben die Sicherheitslücken in den Versionen 7.69, 8.7.11 und 8.8.1 geschlossen. Für ältere Ausgaben als 8.7.x ist der Support ausgelaufen und sie bekommen keine Sicherheitsupdates mehr.

Liste nach Bedrohungsgrad absteigend sortiert:

• Drupal core - Critical - Multiple vulnerabilities - SA-CORE-2019-012
• Drupal core - Moderately critical - Multiple vulnerabilities - SA-CORE-2019-01
• Drupal core - Moderately critical - Denial of Service - SA-CORE-2019-009
• Drupal core - Moderately critical - Access bypass - SA-CORE-2019-011

(des)