Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten
Alert!

Angreifer könnten im Drupal-CMS Kontrolle übernehmen

Mit neuen Versionen schließt das Drupal-Projekt eine Sicherheitslücke, durch die Angreifer Kontrolle über ein betroffenes System übernehmen könnten.

In Pocket speichern vorlesen Druckansicht
Aufmacher Drupal schließt Sicherheitslücke

(Bild: Artur Szczybylo/Shutterstock.com)

Lesezeit: 2 Min.
Security
Von

Durch eine Schwachstelle in einer Dritthersteller-Bibliothek hätte das CMS Drupal Angreifern ermöglichen können, die Kontrolle über das System zu erlangen. Updates stehen bereit, die das Problem beheben.

Drupal liefert die Komponente Guzzle mit, die HTTP-Anfragen und -Antworten mit externen Diensten abwickelt. Die Guzzle-Entwickler haben eine Sicherheitslücke beim Verarbeiten von Headern in der Bibliothek abgedichtet, durch die Angreifer New-Line-Zeichen und nicht vertrauenswürdige Werte einschmuggeln hätten können. Das Risiko schätzen die Guzzle-Maintainer in ihrer Sicherheitsmeldung als niedrig ein.

In dem Security Advisory der Drupal-Entwickler stufen diese das Risiko der Schwachstelle als mittel ein. Sie betrifft Drupal vor den Versionen 9.3.9 und 9.2.16 sowie den 8er-Zweig, der jedoch am End-of-Life (EOL) angelangt ist. Daher gibt es für Drupal 8 keine Aktualisierung mehr; Nutzer der alten Version sollten dringend auf eine unterstützte Version umsteigen. Drupal 7 bleibt hingegen von der Sicherheitslücke verschont.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

Aktualisierung jetzt installieren

Die US-amerikanische Cyber-Sicherheitsbehörde CISA erläutert die Auswirkungen des Sicherheitslecks. Angreifer könnten die Schwachstelle ausnutzen, um die Kontrolle über ein betroffenes System zu übernehmen. Sie stuft die bereitstehenden Aktualisierungen daher als "benötigt" ein. Wie ein konkreter Angriff aussehen würde, etwa eine manipulierte HTTP-Anfrage, die die Sicherheitslücke missbraucht, erläutert jedoch keine der involvierten Parteien genauer.

In den Release Notes drängen die Drupal-Entwickler Nutzer und Administratoren dazu, die Aktualisierung unmittelbar zu installieren. Die fehlerbereinigten Versionen 9.3.9 sowie 9.2.16 stehen auf der Webseite des Projekts zum Herunterladen bereit.

Lesen Sie auch:

Themenseite zu Drupal auf heise online

(dmk)

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten