In einer der Bibliotheken, die das beliebte CMS Drupal einsetzt, steckt ein Fehler und gefährdet Internetseiten mit bestimmten Einstellungen der Konfiguration. Inzwischen sind aber schon Sicherheitsupdates verfügbar. Es gibt aber auch einen Workaround, über den die Admins die Seiten auch einen gegen solche Angriffe schützen können.
Die in der Warnmeldung der Entwickler als „kritisch“ bezeichnete Lücke (CVE-2020-36193) steckt in der pear-Archive_Tar-Bibliothek. Diese Library kümmert sich um die Verarbeitung von komprimierten Archiven wie zum Beispiel .tar. War ein Angriff erfolgreich, dann könnten Angreifer schreibend auf den Internetserver zugreifen (Directory Traversal).
Workaround: Upload von Archiven verbieten
Allerdings sind nur Seiten bedroht, bei denen der Upload solcher Dateien erlaubt ist. Wenn die Admins diese Funktion deaktivieren, ist die Gefahr erst einmal gebannt.
Besser wäre es aber, jetzt eine der abgesicherten Versionen 7.78, 8.9.13, 9.0.11 oder 9.1.3 zu installieren. Die Drupal-Entwickler weisen auch darauf hin, dass der Support für älter Versionen als 8.9.x inzwischen ausgelaufen ist und dass diese veralteten Versionen keine Sicherheitsupdates mehr bekommen.