In dem ziemlich verbreiteten Content-Management-Systems (CMS) Drupal gibt es eine Schwachstelle, die Angreifern die Manipulation von Dateien im CMS aus der Ferne möglich macht..

Das BSI hat dazu eine Sicherheitswarnung der zweithöchsten Risikostufe (4 von 5)herausgegeben, und die Drupal-Entwickler selbst wählten gemäß “NIST’s Common Misuse Scoring System (CMSS)” die Einordnung “moderately critical”. Updates, die diese Schwachstelle beseitigen, stehen jetzt zur Verfügung und sollten auch ziemlich umgehend eingespielt werden.

Selbe Schwachstelle in TYPO3 bereits im letzten Sommer geschlossen

Drupal gibt in seinem Sicherheitshinweis zur Schwachstelle (CVE-2019-11831) die Drittanbieter-PHP-Komponente “Phar Stream Wrapper” als Quelle des Problems an. Dabei verweisen sie auch auf ein aktuelles Dokument auf der Internetpräsenz des CMS Typo3, in dem die Schwachstelle detailliert erläutert wird.

Dieses Dokument wiederum verweist seinerseits auf einen Typo3-Sicherheitshinweis, der bestätigt, dass CVE-2019-11831 auch in Typo3 existierte. Dort eliminierten die Entwickler  die Schwachstelle allerdings schon im Juli 2018 aus ihrem CMS. Auch das Phar Stream Wrapper Package selbst wurde mittlerweile bereinigt.

Die verfügbaren Versionen des Updates

Drupal rät den Benutzern von Drupal 8.7 zum Update auf Drupal 8.7.1, während Benutzer von Version 8.6 auf die Version 8.6.16 umsteigen sollten . Für die 8er-Versionen vor 8.6.x gibt es bekannterweise keine Sicherheitsupdates mehr.  Deshalb sollten die auch gar nicht mehr genutzt werden. Für Benutzer von Drupal 7 beseitigt die Aktualisierung auf 7.67 die Schwachstelle.