Drupal hat eine außerplanmäßige Sicherheitsaktualisierung für den Core des Content-Management-Systems angekündigt. Brisant ist vor allem die begleitende Warnung: Laut Drupal könnten Angreifer schon innerhalb weniger Stunden nach Bekanntgabe des Updates funktionsfähige Exploits entwickeln. Administratoren sollen deshalb am 20. Mai zwischen 17:00 und 21:00 Uhr UTC ein Zeitfenster für die Aktualisierung freihalten.
Betroffen ist der Drupal-Core ab Version 8. Drupal stellt jedoch klar, dass nicht alle Konfigurationen verwundbar sind. Wer noch auf Version 8 oder 9 setzt, wird ausdrücklich dazu angehalten, auf mindestens Version 10.6 zu wechseln.
Für mehrere Versionszweige sind Sicherheitsupdates vorgesehen. Obwohl die Zweige 11.1.x und 10.4.x offiziell nicht mehr unterstützt werden, will Drupal sie wegen der Schwere der Lücke ebenfalls mit Korrekturen versorgen; empfohlen werden hier die Versionen 11.1.9 und 10.4.9.
Drupal 8 und 9 haben das Ende ihres Lebenszyklus erreicht und erhalten keine regulären Patches mehr. Für die Versionen 9.5 und 8.9 werden allerdings Hotfix-Dateien veröffentlicht, sodass Betreiber von 9.5.11 oder 8.9.20 die Lücke schließen können. Wer Drupal Steward einsetzt, ist gegen bekannte Angriffswege bereits geschützt, sollte das Update aber dennoch einspielen.
Technische Einzelheiten zur Schwachstelle hat Drupal bewusst zurückgehalten. Das Unternehmen warnt zudem, dass online auftauchende Informationen zu der Lücke gefälscht sein könnten, um Administratoren zu riskanten Aktionen zu verleiten. „Weder das Sicherheitsteam noch eine andere Partei ist in der Lage, vor der offiziellen Bekanntgabe weitere Informationen zu dieser Schwachstelle zu veröffentlichen", erklärte Drupal.
Das Content-Management-System ist bei großen Organisationen sowie in Behörden, im Bildungs- und im Gesundheitswesen weit verbreitet. Drupal rät Administratoren, den offiziellen Sicherheitsbereich der Plattform im Tagesverlauf im Blick zu behalten und das Update einzuspielen, sobald es zur Verfügung steht.
