Drupal-Nutzer sollten den CMS-Core aktualisieren. Die Entwickler haben eine Schwachstelle gefixt, die als „moderately critical“ gilt.
Im Core des Content-Management-Systems Drupal steckt eine Schwachstelle, die entfernten Angreifern die Manipulation von Dateien im CMS ermöglicht.
Das BSI stuft die Schwachstelle in einer Sicherheitswarnung mit der zweithöchsten Risikostufe ein (4 von 5). Die Drupal-Entwickler selbst wählten gemäss dem NIST Common Misuse Scoring System (CMSS) die Einstufung „moderately critical“. Updates sind verfügbar und sollten zeitnah eingespielt werden.
Schwachstelle in TYPO3 bereits vor einem Jahr geschlossen
Die Drupal-Entwickler nennen in ihrem Sicherheitshinweis zur Schwachstelle (CVE-2019-11831) die Drittanbieter-PHP-Komponente „Phar Stream Wrapper“ als Gefahrenquelle. Sie verweisen ausserdem auf ein Dokument auf der Website von TYPO3, das die Schwachstelle detailliert beschreibt.
Das Dokument verweist seinerseits auf einen TYPO3-Sicherheitshinweis, der belegt, dass CVE-2019-11831 auch in TYPO3 existierte. Die Entwickler hatten die Schwachstelle dort allerdings schon im Juli 2018 beseitigt. Auch das Phar Stream Wrapper Package selbst wurde inzwischen gefixt.
Drupal Core jetzt aktualisieren
Die Drupal-Entwickler empfehlen Nutzern von Drupal 8.7 das Update auf Drupal 8.7.1. Nutzt du 8.6, wechselst du am besten auf 8.6.16. 8er-Versionen vor 8.6.x erhalten keine Sicherheitsupdates mehr — wer noch darauf läuft, sollte so schnell wie möglich migrieren. Für Drupal 7 schliesst die Aktualisierung auf 7.67 die Lücke. (ovw)