Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Deshalb dichten jetzt neue Updates die Lücken ab.
In dem beliebten Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in der die Entwickler jetzt schon wieder zwei weitere Sicherheitslücken geschlossen haben. Nach Angaben der US-Cyber-Sicherheitsbehörde CISA könnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert mit aktualisierten Paketen, in denen es die Schwachstellen entschärft wurden.
Und wieder stecken die Schwachstellen in Guzzle
Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte der fälschlicherweise solche Informationen weitergeben, wenn er die Anfrage auf http oder auf einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”). Auch die Authorization-Header enthalten vertrauliche Daten, und zeigen dasselbe Fehlverhalten wie die Cookie-Header (CVE-2022-31043, CVSS 7.5, hoch).
In der Sicherheitsmeldung dazu schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module sowie eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie jetzt ein Sicherheitsupdate außer der Reihe herausgeben.
Auch die CISA warnt vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der Drupal-Sicherheitsmeldung zu lesen und die neuen, aktualisierten Pakete jetzt zu installieren. Betroffen sind Drupal 9.2, 9.3 sowie 9.4. Die Updates auf die Versionen 9.2.21, 9.3.16 und 9.4.0-rc2 beseitigen die sicherheitskritischen Schwachstellen. Den Releasenotes zufolge enthalten die neuen Versionen ausschließlich diese Sicherheitsfixes.