Schon vor zwei Wochen gab es Updates gegen zwei Sicherheitslücken in der Drupal-Komponente Guzzle. Weitere Sicherheitslecks in der Guzzle-Bibliothek ermöglichen es Angreifern aber immer noch, verwundbare Drupal-Installationen zu kompromittieren. Weitere neue Updates dichten die Sicherheitslücken ab.
Im Content-Management-System (CMS) Drupal kommt die Komponente Guzzle zum Einsatz, in welcher die Entwickler gerade erneut zwei weitere Sicherheitslücken geschlossen haben.
Nach Angaben Cyber-Sicherheitsbehörde CISA der USA konnten Angreifer diese missbrauchen, um verwundbare Drupal-Installationen zu übernehmen. Das Drupal-Projekt reagiert darauf mit Updates, in welche die Schwachstellen entschärfen.
Schon wieder stecken die Schwachstellen in Guzzle
Cookie-Header transportieren als Antworten auf Anfragen an den Server sensible Informationen. Bei https-Anfragen an den Server könnte dieser fälschlicherweise derartige Informationen weitergeben, wenn er die Anfrage auf http oder einen anderen Host umleitet (CVE-2022-31042, CVSS 7.5, Risiko “hoch”).
Die Authorization-Header enthalten ebenfalls vertrauliche Daten, und dasselbe Fehlverhalten wie bei den Cookie-Headern kann auch bei ihnen auftreten (CVE-2022-31043, CVSS 7.5, hoch).
In der dazugehörigen Sicherheitsmeldung schreiben die Drupal-Entwickler, dass die Lücken zwar nicht den Drupal-Kern selbst beträfen, aber potenziell Dritthersteller-Module und eigene Code-Erweiterungen und stufen die Gefahr als so hoch ein, dass sie ein Sicherheitsupdate außer der Reihe herausgeben haben.
Auch CISA warnt vor den Lücken in Guzzle
Auch die CISA warnt schon vor den Sicherheitslücken und empfiehlt Drupal-Administratoren, die Hinweise in der Drupal-Sicherheitsmeldung zu prüfen und die aktualisierten Pakete jetzt umgehend zu installieren.
Betroffen sind Drupal 9.2, 9.3 und 9.4. Die Updates auf die Versionen 9.2.21, 9.3.16 und 9.4.0-rc2 beseitigen die sicherheitskritischen Schwachstellen. Den Releasenotes zufolge enthalten die neuen Versionen ausschließlich diese Sicherheitsfixes.
Dabei ist es gerade erst zwei Wochen her, dass andere Schwachstellen in der Guzzle-Komponente die Sicherheit von Drupal-Installation gefährdeten. Auch dabei warnte schon die CISA und empfahl, die passend dazu bereitgestellten Updates einzuspielen.