Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Betroffene Software:
Drupal >= 7.0
Drupal <= 7.31
Betroffene Plattformen:
Debian Linux 7.6 Wheezy
Eine Schwachstelle in Drupal7 ermöglicht einem entfernten, nicht
authentifizierten Angreifer, SQL-Injection-Angriffe durchzuführen, dadurch
beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über die
betroffene Webseite zu übernehmen.
Patch:
Debian Security Advisory DSA-3051-1
https://www.debian.org/security/2014/dsa-3051
Patch:
Drupal Security Advisory SA-CORE-2014-005
https://www.drupal.org/SA-CORE-2014-005
CVE-2014-3704: SQL-Injection-Schwachstelle in Drupal7 ermöglicht das
Ausführen von beliebigem Programmcode
Die Funktion “expandArguments” von Drupal7 behandelt übergebene Arrays mit
Schlüsseln für die Benutzung in Prepared Statements bei SQL-Befehlen nicht
korrekt, woraus die Möglichkeit für SQL-Injection-Angriffe entsteht. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, indem er speziell präparierte Schlüssel als Eingabe für Arrays
benutzt, um über SQL-Injection anschließend beliebige Daten in der Datenbank
ändern, löschen, lesen oder hinzufügen zu können. Mit der Möglichkeit
beliebige Daten in die Datenbank zu schreiben und über Callbacks aufzurufen,
ist es dem Angreifer danach möglich, beliebigen PHP Code auszuführen.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1369/
Debian Security Advisory DSA-3051-1:
https://www.debian.org/security/2014/dsa-3051
Drupal Security Advisory SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005
Schwachstelle CVE-2014-3704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3704
(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.
