Update installieren: Drupal-Lücke erlaubt abermals Website-Übernahme

In dem Content-Management-System Drupal kommt die Komponente Guzzle zum Einsatz, in der die Entwickler zwei Sicherheitslücken geschlossen haben. Laut der US-amerikanischen Cyber-Sicherheitsbehörde CISA könnten Angreifer die missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert mit aktualisierten Paketen, in denen es die Schwachstellen behebt.

Schwachstellen in Guzzle

"Cookie"-Header als Antworten auf Anfragen an den Server transportieren sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise solche Informationen weiterreichen, wenn der Server die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko "hoch"). "Authorization"-Header enthalten ebenfalls vertrauliche Daten. Dasselbe Fehlverhalten wie mit den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch).

In ihrer Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken den Drupal-Kern nicht betreffen würden, jedoch potenziell Dritthersteller-Module und eigene Code-Erweiterungen. Dennoch stufen sie die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außerhalb der üblichen Reihe herausgeben.

Die CISA warnt ebenfalls vor den Sicherheitslücken und empfiehlt Administratoren, die Hinweise in der Drupal-Sicherheitsmeldung zu prüfen und die aktualisierten Pakete zu installieren. Betroffen sind Drupal 9.2, 9.3 sowie 9.4. Die Updates auf die Versionen 9.2.21, 9.3.16 sowie 9.4.0-rc2 bügeln die sicherheitskritischen Fehler aus. Laut der Releasenotes enthalten die neuen Fassungen ausschließlich die Sicherheitsfixes.

Gerade erst zwei Wochen sind vergangen, seit andere Schwachstellen in der Guzzle-Komponente die Sicherheit von Drupal-Installation gefährdeten. Auch da warnte bereits die CISA und empfahl, die Updates anzuwenden.

(dmk)