Ein Update auf neue Versionen von Drupal 7, 8.x und 9.x beseitigt eine vom Drupal-Team als kritisch eingestufte Schwachstelle, die auf einem Programmierfehler in der von Drupal benutzten Klasse Archive_Tar aus der PHP-Programmbibliothek PEAR beruht.
Es gibt ein Update für Archive_Tar, das nun auch in den Kern des CMS integriert wurde. Drupal-Nutzer sollten jetzt auf die entsprechende abgesicherte Version umsteigen.
Drupal soll nur eingeschränkt angreifbar sein
Diese Schwachstelle mit der Kennung CVE-2021-32610 macht Path-Traversal-Angriffe mittels symbolischer Verknüpfungen (Symlinks), möglich. Durch die Eingabe bestimmter URLs können Angreifer beim einem Path-Traversal-Angriff unbefugt auf potenziell vertrauliche Inhalte zugreifen. Welche Dateien bzw. Verzeichnisse von Drupal dadurch konkret gefährdet sind, steht leider nicht in dem Drupal-Advisory SA-CORE-2021-004.
Die Drupal-Entwickler unterstreichen auch in ihrem Advisory, dass das CMS nur unter bestimmten Voraussetzungen überhaupt angreifbar sein soll: Für einen Angriff benötigte Symlinks seien im Rahmen der Archive_Tar-Nutzung durch den Drupal-Core selbst nicht zulässig.
Allerdings könnte eigener Programmcode oder auch Module von Drittanbietern (“contrib or custom code”) das CMS trotzdem zum Ziel eines erfolgreichen Angriffs machen – und zwar, wenn von diesem Code Archive_Tar verwendet werde, um damit Tar-Archive aus unseriösen Quellen zu öffnen.
Die abgesicherten Drupal – und Archive-Tar-Versionen
Je nach der genutzten Hauptversion rät das Drupal-Team zum Update auf die Drupal-Version 7.82, 8.9.17, 9.1.11 oder 9.2.2. Diese abgesicherten Versionen sind in dem genannten Advisory auch verlinkt.
Das PEAR-Team hat seine Software schon am letzten Dienstag gegen CVE-2021-32610 abgesichert: Die Archive-Tar-Version 1.4.14 liegt schon vor und sollte aus Sicherheitsgründen ab sofort genutzt werden.
