Quelle: Drupal.org
Gefährliche Sicherheitslücken in Drupal
Mit neuen Sicherheits-Updates haben die Entwickler des CMS Drupal zwei signifikante Schwachstellen in Drupal 7.x und 9.3/9.4 ausgeräumt.
3. Oktober 2022
Das PHP-basierte Web-CMS Drupal, Basis für zahlreiche Webauftritte, leidet unter diversen Schwachstellen. Angreifer können die Lecks ausnutzen, um auf eigentlich unzugängliche Daten zuzugreifen. Am bedeutendsten ist die Schwachstelle CVE-2022-39261, deren Risiko mit einem CVSS Score von 7.5 als hoch eingestuft ist – die Drupal-Macher bezeichnen das Leck im Security Advisory sogar als kritisch. Es handelt sich dabei um einen Fehler in der PHP-Template-Sprache Twig, der Angreifern beim Einsatz bestimmter Namespaces den Zugriff auf Daten ausserhalb des Template-Verzeichnisses erlaubt.
Die zweite signifikante Schwachstelle findet sich im S3-Filesystem-Modul von Drupal, mit dem S3-konformer Storage als Drupal-Filesystem genutzt werden kann. Hier nennt die Sicherheitswarnung keine CVE-Nummer, merkt aber an, dass die Schwachstelle den Dateizugriff über verschiedene Filesysteme hinweg, die im gleichen S3-Bucket residieren, nicht genügend unterbinde. Angreifer müssen allerdings zuerst eine Methode finden, um auf beliebige Dateipfade Zugriff zu erhalten, bei der angezielten Drupal-Site muss Public oder Private Takeover aktiviert sein und der Metadaten-Cache der Dateien muss ignoriert werden – deshalb der geringere Schweregrad Moderately Critical.
Das kritische Leck CVE-2022-39261 wird durch ein Sicherheits-Update von Twig und entsprechende Anpassungen in Drupal behoben, die aktualisierten Drupal-9-Versionen sind 9.4.7 beziehungsweise 9.3.22. Die S3-Schwachstelle in Drupal 7.x ist im S3-Modul Version 7.x-2.14 eliminiert. (ubi)
Die zweite signifikante Schwachstelle findet sich im S3-Filesystem-Modul von Drupal, mit dem S3-konformer Storage als Drupal-Filesystem genutzt werden kann. Hier nennt die Sicherheitswarnung keine CVE-Nummer, merkt aber an, dass die Schwachstelle den Dateizugriff über verschiedene Filesysteme hinweg, die im gleichen S3-Bucket residieren, nicht genügend unterbinde. Angreifer müssen allerdings zuerst eine Methode finden, um auf beliebige Dateipfade Zugriff zu erhalten, bei der angezielten Drupal-Site muss Public oder Private Takeover aktiviert sein und der Metadaten-Cache der Dateien muss ignoriert werden – deshalb der geringere Schweregrad Moderately Critical.
Das kritische Leck CVE-2022-39261 wird durch ein Sicherheits-Update von Twig und entsprechende Anpassungen in Drupal behoben, die aktualisierten Drupal-9-Versionen sind 9.4.7 beziehungsweise 9.3.22. Die S3-Schwachstelle in Drupal 7.x ist im S3-Modul Version 7.x-2.14 eliminiert. (ubi)
Weitere Artikel zum Thema
Sicherheitslücke in Drupal, Update dringend empfohlen
1. Juni 2022 - Aufgrund eines Fehlers in der von Drupal genutzten Library Guzzle sind ungepatchte Drupal-Websites derzeit gefährdet, von Angreifern übernommen zu werden. Ein Patch steht bereit.Artikel kommentieren
