Eine Drittherstellerbibliothek erzeugt Sicherheitslücken im CMS Drupal. Die US-amerikanische Cyber-Sicherheitsbehörde CISA rät jetzt zur Aktualisierung.
BVon der US-amerikanischen Cyber-Sicherheitsbehörde CISA kommt die Warnung vor einer Schwachstelle im Content Management System (CMS) Drupal. Angreifer könnten möglicherweise durch Sicherheitslücken aus der Ferne die Kontrolle über eine betroffene Internetpräsenz übernehmen.
Diese Sicherheitslücke findet sich nicht im eigentlichen Drupal-Code, sondern in der Bibliothek Guzzle eines Drittherstellers. Über Guzzle wickelt Drupal HTTP-Anfragen und -Antworten an externe Dienste ab. Inzwischen hat das Guzzle-Projekt ein Update veröffentlicht, dass zwar nicht den Drupal-Core betrifft, aber Auswirkungen auf beigesteuerte Projekte oder speziell angepassten Code von Drupal-Seiten haben könnte.
Der Fehler in Drittherstellerbibliothek Guzzle
Die Schwachstelle im Guzzle-Projekt bezeichnen die Entwickler als „Cross-Domain Cookie Leakage“. Der Fehler ist eine fehlende Prüfung, ob die Domain eines Cookies mit derjenigen des Servers übereinstimmt, der es über den „Set-Cookie“-Header setzt.
Dadurch könnte ein bösartiger Server auch Cookies für andere Domains setzen. Als Beispiel nennen die Entwickler, dass www.example.com ein Session-Cookie für api.example.net setzen könne. Der Guzzle-Client logge sich dann ins Konto ein und könne so an die privaten API-Anfragen aus dem Sicherheitsprotokoll gelangen (CVE-2022-29248, CVSS 8.0, Risiko „hoch„).
In ihrem Security Advisory schreiben die Drupal-Entwickler, dass sie die Sicherheitsmeldung deshalb außerhalb des üblichen Zeitrahmens herausgegeben haben, weil das Guzzle-Projekt schon Informationen über die Schwachstelle veröffentlicht habe.
Die Lücke könnte in allen zusätzlichen oder angepassten Modulen auftreten, die Guzzle für ausgehende HTTP-Anfragen benutzten. Außerdem stuften die Guzzle-Entwickler diesen Fehler als „hohes“ Risiko ein.
Von dem Problem sind Drupal-Installationen vor der aktuellen Fassung 9.3.14 sowie vor 9.2.20 betroffen. Auf diese beiden sauberen Versionen sollten Drupal-Administratoren jetzt ihre Drupal Installationen zügig aktualisieren.
