Die Drupal-Entwickler haben mehrere Versionsreihen des Content Management Systems gegen eine kritische Schwachstelle abgesichert. Angreifer hätten diese unter bestimmten Voraussetzungen aus der Ferne ausnutzen können, um Programmcode auf dem jeweiligen Webserver auszuführen (Remote Code Execution, RCE).
Weiterhin gibt es Updates für die Drupal-Module SAML SP 2.0 SSO-Modul, Media oEmbed und Examples for Developers. Auch hier wurden durchweg kritische Schwachstellen beseitigt. Drupal-Admins sollten verwundbare Installationen und Module möglichst zeitnah aktualisieren.
Der Ink Filepicker weist ebenfalls eine kritische Schwachstelle auf. Da er von den Projektverantwortlichen jedoch nicht repariert wurde und diese sich scheinbar nicht mehr um das Modul kümmern, hat das Drupal Security-Team das Projekt als "unsupported" markiert. Es rät in einem Security Advisory zur Deinstallation:
Drupal Core: RCE via Datei-Upload
Details zur Schwachstelle im CMS selbst nennt das Drupal Advisory SA-CORE-2020-012. Demnach war es bislang möglich, beim Upload von Dateien gezielt Namen zu vergeben, die dazu führten, dass das CMS den Dateityp falsch interpretierte. In der Konsequenz konnte das System im Falle bestimmter, im Advisory allerdings nicht näher beschriebener Hosting-Konfigurationen dazu gebracht werden, schädlichen PHP-Code auszuführen.
Aus der "Security Risk Matrix" im Advisory geht hervor, dass für einen Angriff mindestens die Zugriffsrechte eines authentifizierten Benutzers erforderlich wären. Exploit-Code in freier Wildbahn wurde bislang nicht gesichtet.
Die neuen Versionen 7.74, 8.8.11, 8.9.9 und 9.0.8 schaffen Abhilfe für die verwundbaren Drupal-Ausgaben 7.x, 8.8.x, 8.9.x und 9.0.x. Da 8er-Versionsreihen vor 8.8.x nicht mehr offiziell unterstützt werden, ist für sie kein Update verfügbar.
Zusätzlich zum Update rät das Drupal-Team dazu, bestimmte bereits auf den Server geladene Dateien rückwirkend auf "versteckte", potenziell schädliche Dateitypen zu überprüfen. Details dazu sind dem Advisory zu entnehmen.
Modul-Updates schließen kritische Lücken
Die kritischen Lücken in den drei eingangs genannten Modulen für mehrere Drupal-Versionen können missbraucht werden, um Authentifizierungsmechanismen zu umgehen (SAML SP 2.0 SSO) und bieten weitere Angriffspunkte für RCE (Media oEmbed, Examples for Developers). Informationen zu verwundbaren und gefixten Versionen finden Modul-Nutzer in den Advisories:
- SAML SP SSO - Access bypass - SA-CONTRIB-2020-038
- Media oEmbed - Remote Code Execution - SA-CONTRIB-2020-036
- Examples for Developers - Remote Code Execution - SA-CONTRIB-2020-035