Archiv-Uploads könnten für Drupal-Websites gefährlich werden
Aktuelle Versionen des Content Management Systems Drupal schließen eine kritische Sicherheitslücke.
Eine Bibliothek, die das CMS Drupal einsetzt, ist fehlerhaft und gefährdet Websites mit bestimmten Konfigurationen. Sicherheitsupdates sind verfügbar. Admins können Seiten aber auch über einen Workaround gegen solche Attacken absichern.
Die in einer Warnmeldung der Entwickler als „kritisch“ eingestufte Lücke (CVE-2020-36193) findet sich in der pear-Archive_Tar-Bibliothek. Die Bibliothek kümmert sich um die Verarbeitung von komprimierten Archiven wie .tar. Nach einer erfolgreichen Attacke könnten Angreifer schreibend auf Webserver zugreifen (Directory Traversal).
Update installieren
Websites sind nur bedroht, wenn der Upload solcher Dateien erlaubt ist. Deaktivieren Admins die Funktion, sind Seiten nicht gefährdet. Alternativ installieren sie eine der abgesicherten Versionen 7.78, 8.9.13, 9.0.11 oder 9.1.3. Die Entwickler weisen darauf hin, dass der Support für jüngere Versionen als 8.9.x ausgelaufen ist. Diese Ausgaben bekommen keine Sicherheitsupdates mehr.
(des)