Weil die Entwickler Sicherheitslücken in ihren Erweiterungen nicht geschlossen haben, hat Drupal diese auf den Status „unsupported (nicht unterstützt)“ gesetzt und rät zur Deinstallation.

Auf seiner Webseite listet Drupal viele Erweiterungen auf, mit dem die Admins das CMS erweitern können. Jetzt haben die Entwickler verschiedene dieser Erweiterungen in den Status „unsupported“ versetzt, weil deren Entwickler nicht auf Meldungen von Sicherheitslücken reagiert und diese auch nicht beseitigt haben. Das Risiko durch diese Erweiterungen stufen die Drupal-Macher als kritisch ein und empfehlen den Nutzern, die betroffenen Erweiterungen jetzt zu deinstallieren.

Große Zahl von Erweiterungen ohne Unterstützung

Die Liste auf Drupals contrib-Seite enthält aktuell 16 Erweiterungen mit bekannten Sicherheitslücken, bei denen bisher niemand diese Schwachstellen beseitigt hat.

Dabei geht es um diese Erweiterungen:

  • Printer, email and PDF versions,
  • Image Media Export Import,
  • Remote Stream Wrapper,
  • Vendor Stream Wrapper,
  • Cog,
  • Media Entity Flickr,
  • Vocabulary Permissions Per Role,
  • Exif,
  • Business Responsive Theme,
  • Swiftype integration,
  • Rate,
  • Expire reset password link,
  • Admin Toolbar Search,
  • Colorbox,
  • Taxonomy Access Control Lite,
  • Prevent anonymous users to access Drupal pages.

Solange diese Drupal-Erweiterungen noch keine neuen Betreuer haben, sollten sie dringend deinstalliert werden. Ansonsten könnten Angreifer möglicherweise die bekannten Schwachstellen dafür ausnutzen, in verwundbare Drupal-Instanzen einzudringen.