Gefährliche Sicherheitslücken in Drupal

Gefährliche Sicherheitslücken in Drupal

(Quelle: Drupal.org)
3. Oktober 2022 - Mit neuen Sicherheits-Updates haben die Entwickler des CMS Drupal zwei signifikante Schwachstellen in Drupal 7.x und 9.3/9.4 ausgeräumt.
Das PHP-basierte Web-CMS Drupal, Basis für zahlreiche Webauftritte, leidet unter diversen Schwachstellen. Angreifer können die Lecks ausnutzen, um auf eigentlich unzugängliche Daten zuzugreifen. Am bedeutendsten ist die Schwachstelle CVE-2022-39261, deren Risiko mit einem CVSS Score von 7.5 als hoch eingestuft ist – die Drupal-Macher bezeichnen das Leck im Security Advisory sogar als kritisch. Es handelt sich dabei um einen Fehler in der PHP-Template-Sprache Twig, der Angreifern beim Einsatz bestimmter Namespaces den Zugriff auf Daten ausserhalb des Template-Verzeichnisses erlaubt.

Die zweite signifikante Schwachstelle findet sich im S3-Filesystem-Modul von Drupal, mit dem S3-konformer Storage als Drupal-Filesystem genutzt werden kann. Hier nennt die Sicherheitswarnung keine CVE-Nummer, merkt aber an, dass die Schwachstelle den Dateizugriff über verschiedene Filesysteme hinweg, die im gleichen S3-Bucket residieren, nicht genügend unterbinde. Angreifer müssen allerdings zuerst eine Methode finden, um auf beliebige Dateipfade Zugriff zu erhalten, bei der angezielten Drupal-Site muss Public oder Private Takeover aktiviert sein und der Metadaten-Cache der Dateien muss ignoriert werden – deshalb der geringere Schweregrad Moderately Critical.

Das kritische Leck CVE-2022-39261 wird durch ein Sicherheits-Update von Twig und entsprechende Anpassungen in Drupal behoben, die aktualisierten Drupal-9-Versionen sind 9.4.7 beziehungsweise 9.3.22. Die S3-Schwachstelle in Drupal 7.x ist im S3-Modul Version 7.x-2.14 eliminiert. (ubi)

Neuen Kommentar erfassen

Anti-Spam-Frage Vor wem mussten die sieben Geisslein aufpassen?
Antwort
Name
E-Mail
GOLD SPONSOREN
SPONSOREN & PARTNER