Sicherheitsupdates: Archive mit Schadcode könnten Drupal-Websites gefährden
Die Drupal-Enwickler haben zwei gefährliche Sicherheitslücken im Content Management System Drupal geschlossen.
Unter bestimmten Voraussetzungen könnten Angreifer mit dem CMS Drupal erstellte Websites attackieren und eigenen Code ausführen. Abgesicherte Versionen sind verfügbar. Drupal zufolge ist Exploit-Code in Umlauf.
Websites sind nur verwundbar, wenn der Upload von Archiven in den Formaten .bz2, .tar, .tar.gz oder .tlz konfiguriert ist. Aufgrund der zwei Sicherheitslücken (CVE-2020-28948, CVE-2020-28949) kommt es zu Fehlern bei der Überprüfung von derartigen Archiven. Klappen Attacken, könnten Angreifer der Warnmeldung zufolge eigenen PHP-Code ausführen. Das Sicherheitsrisiko stuft Drupal als "kritisch" ein.
Abgesichert sind die Versionen 7.75, 8.8.12, 8.9.10 und 9.0.9. Der Support für alle Versionen bis einschließlich Drupal 8.8.x ist ausgelaufen und es gibt keine Sicherheitsupdates mehr. Alternativ können Admins die Archiv-Upload-Funktion deaktivieren, um Websites vor solchen Attacken zu schützen.
(des)