DFN-CERT-2015-0210 Drupal Modul Views: Zwei Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora]

DFN-CERT-2015-0210 Drupal Modul Views: Zwei Schwachstellen ermöglichen u.a. das Ausspähen von Informationen [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Drupal Views < 2.18 Drupal Views < 3.2 Drupal Views < 3.10 Betroffene Plattformen: Red Hat Fedora 20 Red Hat Fedora 21 Zwei Schwachstellen im Drupal Modul Views ermöglichen einem entfernten, authentifizierten Benutzer, als Angreifer, Informationen auszuspähen oder Benutzer auf andere Webseiten umzuleiten und dadurch evtl. weitere Angriffe durchzuführen. Das Drupal Core System ist von diesen Schwachstellen nicht betroffen. Für die 6er Drupal-Versionen wird das Views Modul in den Versionen 2.18 und 3.2 und für die 7er Drupal-Versionen wird das Views Modul in der Version 3.10 zur Behebung der Schwachstellen bereitgestellt. Für die Distributionen Fedora 20 und Fedora 21 werden sowohl für Drupal 6 als auch für Drupal 7 Sicherheitsupdates im Status 'testing' zur Verfügung gestellt. Patch: Drupal Security Advisory DRUPAL-SA-CONTRIB-2015-039 https://www.drupal.org/node/2424403

Patch:

Fedora Security Update FEDORA-2015-1936

https://admin.fedoraproject.org/updates/FEDORA-2015-1936/drupal6-views-2.18-1.fc20

Patch:

Fedora Security Update FEDORA-2015-1953

https://admin.fedoraproject.org/updates/FEDORA-2015-1953/drupal6-views-2.18-1.fc21

Patch:

Fedora Security Update FEDORA-2015-2101

https://admin.fedoraproject.org/updates/FEDORA-2015-2101/drupal7-views-3.10-1.fc21

Patch:

Fedora Security Update FEDORA-2015-2104

https://admin.fedoraproject.org/updates/FEDORA-2015-2104/drupal7-views-3.10-1.fc20

DRU-2015-039 – 2: Open-Redirect-Schwachstelle im Drupal Modul Views

Durch eine Schwachstelle filtert das Views Modul von Drupal von Benutzern
eingegebene URLs nicht ausreichend. Ein entfernter, authentisierter
Benutzer, als Angreifer, kann dies nutzen, um Open-Redirect-Angriffe
durchzuführen und Benutzer auf andere Webseiten umzuleiten.
Diese Schwachstelle kann nur ausgenutzt werden, wenn das Views UI Submodul
aktiviert ist.

DRU-2015-039-1: Schwachstelle im Drupal Modul Views erlaubt Ausspähen von
Informationen

Durch eine Schwachstelle im Drupal Modul Views werden die
Default-Konfigurationen vom Views Modul nicht ausreichend geschützt. Dadurch
können unter bestimmten Umständen entfernte, authentisierte Benutzer, als
Angreifer, unbefugt Zugriff auf geschützte Informationen erlangen.
Die Schwachstelle betrifft jedoch nur Webseiten, bei denen die allgemeine
Berechtigung für “Access Content” oder “Access Comments” für nicht
vertrauenswürdige Benutzer auf “unerlaubt” eingestellt ist. Darüber hinaus
sind diese Default-Konfigurationen des Views Moduls standardmäßig
deaktiviert und müssen von einem Administrator aktiviert werden.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2015-0210/

Drupal Security Advisory DRUPAL-SA-CONTRIB-2015-039:
https://www.drupal.org/node/2424403

Fedora Security Update FEDORA-2015-1936:
https://admin.fedoraproject.org/updates/FEDORA-2015-1936/drupal6-views-2.18-1.fc20

Fedora Security Update FEDORA-2015-1953:
https://admin.fedoraproject.org/updates/FEDORA-2015-1953/drupal6-views-2.18-1.fc21

Fedora Security Update FEDORA-2015-2101:
https://admin.fedoraproject.org/updates/FEDORA-2015-2101/drupal7-views-3.10-1.fc21

Fedora Security Update FEDORA-2015-2104:
https://admin.fedoraproject.org/updates/FEDORA-2015-2104/drupal7-views-3.10-1.fc20

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben