Drupal-Nutzer sollten den CMS-Core aktualisieren. Die Entwickler haben eine Schwachstelle gefixt, die als “moderately critical” gilt.
Im Core des Content-Management-Systems Drupal steckt eine Schwachstelle, die entfernten Angreifern die Manipulation von Dateien im CMS ermöglichen kann.
Das BSI hat in einer Sicherheitswarnung die zweithöchste Risikostufe (4 von 5) angegeben. Die Drupal-Entwickler selbst wählten gemäß “NIST’s Common Misuse Scoring System (CMSS)” die Einstufung “moderately critical”. Updates sind verfügbar und sollten zeitnah eingespielt werden.
Schwachstelle in TYPO3 bereits vor einem Jahr geschlossen
Die Drupal-Entwickler geben in ihrem Sicherheitshinweis zur Schwachstelle (CVE-2019-11831) die Drittanbieter-PHP-Komponente “Phar Stream Wrapper” als Gefahrenquelle an. Sie verweisen außerdem auf ein aktuelles Dokument auf der Internetpräsenz des CMS Typo3, in dem die Schwachstelle detailliert erläutert wird.
Das Dokument verweist seinerseits auf einen Typo3-Sicherheitshinweis, der belegt, dass CVE-2019-11831 auch in Typo3 existierte. Die Entwickler eliminierten die Schwachstelle allerdings schon im Juli 2018 aus ihrem CMS. Auch das Phar Stream Wrapper Package selbst wurde mittlerweile gefixt.
Drupal Core jetzt aktualisieren
Die Drupal-Entwickler raten Nutzern von Drupal 8.7 zum Update auf Drupal 8.7.1. Nutzer von 8.6 sollten auf 8.6.16 umsteigen. 8er-Versionen vor 8.6.x erhalten keine Sicherheitsupdates mehr und sollten dementsprechend gar nicht mehr genutzt werden. Für Drupal-7-User beseitigt die Aktualisierung auf 7.67 die Schwachstelle. (ovw)