Drupal-Team beseitigt potenziell gefährliche Sicherheitslücke aus dem CMS

Neue Versionen von Drupal 7, 8.x und 9.x beseitigen ein vom Drupal-Team als kritisch eingestuftes Sicherheitsproblem, das auf einem Programmierfehler in der von Drupal verwendeten Klasse Archive_Tar aus der PHP-Programmbibliothek PEAR basiert. Für Archive_Tar gibt es ein Update, das folgerichtig auch in den Drupal-Kern eingeflossen ist. Drupal-Nutzer sollten auf die abgesicherten Versionen umsteigen.

Drupal nur eingeschränkt angreifbar

Die Schwachstelle mit der ID CVE-2021-32610 ermöglicht Path-Traversal-Angriffe mittels symbolischer Verknüpfungen, auch Symlinks genannt. Mittels Eingabe bestimmter URLs können Angreifer beim sogenannten Path Traversal unbefugt auf potenziell vertrauliche auf Inhalte zugreifen. Welche Dateien oder Verzeichnisse im Falle von Drupal konkret gefährdet sind, ist dem Drupal-Advisory SA-CORE-2021-004 allerdings nicht zu entnehmen.

Drupal sei nur unter bestimmten Voraussetzungen überhaupt angreifbar, betonen die Entwickler im Advisory: Die für einen Angriff benötigten Symlinks seien im Rahmen der Archive_Tar-Nutzung durch den Drupal-Core selbst nicht zulässig. Eigener Programmcode oder auch Module von Drittanbietern ("contrib or custom code") könnten das CMS allerdings doch zum Angriffsziel machen – und zwar dann, wenn von diesem Code Archive_Tar verwendet werde, um Tar-Archive aus unseriösen Quellen zu öffnen.

Abgesicherte Drupal - und Archive_Tar-Version(en)

Das Drupal-Team rät je nach verwendeter Versionsreihe zum Update auf Drupal 7.82, 8.9.17, 9.1.11 oder 9.2.2. Die genannten abgesicherten Versionen sind im oben genannten Advisory verlinkt.

Das PEAR-Team hat bereits am vergangenen Dienstag gegen CVE-2021-32610 nachgebessert: Die Archive_Tar-Version 1.4.14 liegt vor und sollte ab sofort von sicherheitsbewussten Entwicklern verwendet werden.

(ovw)