Betreiber von Websites, die auf Drupal setzen, sollten aus Sicherheitsgründen auf eine aktuelle Ausgabe aktualisieren. Mit dem Bedrohungsgrad "kritisch" sind die zwei Lücken eingestuft worden. Angreifer könnten in beiden Fällen Schadcode in das CMS schreiben und ausführen. In der Regel gilt eine Website als komplett kompromittiert.

Einer Warnung der Drupal-Entwickler zufolge ist die Lücke mit der Kennung CVE-2018-1000888 in einer der Third-Party-Bibliothek PEAR Archive_Tar. Angreifer könnten Aufgrund von Fehlern bei Dateioperationen Dateien modifizieren oder sogar eigenen Code ausführen.

Im Phar Stream Wrapper von PHP hat eine Macke ebenfalls zu Remote Code Execution führen. Die Drupal-Entwickler führen derzeit den PHP-Fehler in der Meldung zur Lücke nicht weiter aus. Der reparierte Stream Wrapper ist erst mit PHP 5.3.3 kompatibel, weisen die Entwickler drauf hin. Drupal 7 setzt jedoch ältere PHP-Versionen ein. Die aktuelle Drupal-7-Ausgabe deaktiviert den Wrapper.

Die Lücken sind in den Versionen 7.62, 8.5.9 und 8.6.6 geschlossen worden. Bedroht sind alle vorigen Ausgaben. Das Supportende haben ältere Ausgaben vor 8.5.x erreicht und bekommen keine Sicherheitsupdates mehr.

(hv, hannover)

(siehe auch Heise News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE