Mit dem ersten Sicherheitsupdate dieses Jahres schließen die Drupal-Entwickler drei Sicherheitslücken in ihrem Open-Source-CMS. Eine der drei Lücken schätzen sie als kritisch ein, eine weitere kann unter bestimmten Umständen dazu führen, dass Angreifer Schadcode auf betroffenen Servern ausführen können.

Die Drupal-Entwickler empfehlen den Admins, das Sicherheitsupdate so schnell wie möglich zu installieren.

Die drei Probleme im Detail:

  • Durch einen Programmierfehler konnten Texteditoren in Drupal private Dateien nutzen, deren Zugriff eigentlich auf bestimmte Nutzer beschränkt sein sollte (CVE-2017-6377). Diese Lücke stufen die Entwickler als kritisch ein.
  • Mehrere Admin-Seiten des CMS waren nicht ausreichend gegen Cross-Site-Request-Forgery (CSRF) gesichert. Angreifer konnten dadurch unter bestimmten Umständen Zugriff auf geschützte Content-Blöcke erlangen (CVE-2017-6379).
  • Drupal-Systeme haben eventuell eine Entwickler-Bibliothek installiert, über die Angreifer aus der Ferne Schadcode auf den Server bringen und ausführen können.
    Allerdings sollten normalerweise die standardmäßigen Schutzmechanismen in der .htaccess-Datei von Drupal und auch serverseitige Einschränkungen beim Ausführen von PHP-Dateien diesen Angriff verhindern. Das Update schließt jetzt diese Lücke (CVE-2017-6381).
    Nutzer von Drupal-Versionen, die älter als 8.2.2 sind, könnten aber trotzdem davon betroffen sein. Die sollten dann das Drupal-Verzeichnis /vendor/phpunit von Hand entfernen.

Sie erhalten das Sicherheitsupdate auf Drupal 8.2.7 sowie weitere Informationen zu den geschlossenen Lücken über die Sicherheitsmeldung auf der Drupal-Webseite.