1. Juni 2022: Aufgrund eines Fehlers in Library Guzzle, der Drupal verwendet, besteht die Gefahr, dass patchlose Drupal-Websites von Angreifern angegriffen werden. Ein Patch ist fertig.
Im Content Management System (CMS) von Drupal wurde eine Sicherheitslücke entdeckt, die es einem Angreifer ermöglichen könnte, die Kontrolle über eine betroffene Website zu übernehmen. Es wird empfohlen, Drupal zu aktualisieren.
Der Fehler liegt nicht in Drupal selbst, sondern in einer Bibliothek namens Guzzle. Drupal verwendet es, um HTTP-Anfragen zu verarbeiten. Durch die als „Cookie Leak between Domains“ bekannte Schwachstelle könnten Angreifer Cookies für die betroffene Domain setzen. Guzzle stuft Schwachstellen als hohes Risiko ein.
Benutzer von Drupal 9.3 finden den erforderlichen Patch hier, den Patch für 9.2 finden Sie hier. Drupal informiert auf der eigenen Website ausführlich über die Lücke, Guzzle geht hier näher auf das Problem ein. (gewinnen)