Content Management System: Sicherheitslücke in Drupal erlaubt Website-Übernahme
Eine Drittherstellerbibliothek reißt Sicherheitslücken in das CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät zur Aktualisierung.
(Bild: Gorodenkoff/Shutterstock.com)
Die US-amerikanische Cyber-Sicherheitsbehörde CISA warnt vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten dadurch aus der Ferne möglicherweise die Kontrolle über eine betroffene Webseite übernehmen.
Die Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Drittherstellerbibliothek Guzzle. Darüber wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Das Guzzle-Projekt hat ein Update veröffentlicht, dass zwar nicht den Drupal-Core betreffe, jedoch Auswirkungen auf beigesteuerte Projekte oder individuell angepassten Code von Drupal-Seiten haben könnte.
Fehler in Drittherstellerbibliothek
Die Schwachstelle im Guzzle-Projekt erläutern die Entwickler als "Cross-Domain Cookie Leakage". Der Fehler bestehe in einer nicht vorhandenen Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es mittels "Set-Cookie"-Header setzt. Ein bösartiger Server könne dadurch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich ins Konto ein und könne an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko "hoch").
In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung außerhalb des üblichen Zeitrahmens herausgeben, da das Guzzle-Projekt bereits Informationen über die Schwachstelle veröffentlicht habe. Die Lücke könnte in zusätzlichen oder angepassten Modulen auftreten, die Guzzle für ausgehende HTTP-Anfragen nutzten. Außerdem stuften die Guzzle-Entwickler den Fehler als hohes Risiko ein.
Betroffen sind Drupal-Installationen vor der aktuellen Fassung 9.3.14 sowie vor 9.2.20. Auf diese sollten Drupal-Administratoren zügig aktualisieren. Laut den Release-Notes enthalten die aktualisierten Versionen ausschließlich den Fix für die Guzzle-Sicherheitslücke. Ältere Versionen erhalten hingegen keine Unterstützung mehr; Administratoren sollten ihre Installationen daher auf einen noch von den Entwicklern unterstützten Stand bringen.
Schon in der Vergangenheit sorgten Schwachstellen in der Guzzle-Bibliothek dafür, dass Drupal aktualisierte Software veröffentlichen musste. Zuletzt war ein Fehler bei der Verarbeitung von HTTP-Headern durch Guzzle Mitte März dieses Jahres derart problematisch.
(dmk)
