—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1
Liebe Kolleginnen und Kollegen,
soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.
DRUPAL-SA-CONTRIB-2009-003 – Schwachstelle im Content Construction Kit
(CCK) von Drupal
Zwei Module des Content Construction Kit (CCK) in Drupal, mit denen
benutzerdefinierte Felder als Referenzen auf andere Inhalte oder
Benutzer erstellt werden koennen, pruefen Benutzereingaben
unzureichend. Durch ein im Browser angezeigtes Formular koennen
Angreifer ueber manipulierte Feldnamen beliebigen Code in diese Seiten
einschleusen. Ein entfernter Angreifer kann diese Schwachstelle fuer
einen Cross-site Scripting (XSS) Angriff ausnutzen und sich damit
administrative Rechte zu verschaffen.
Betroffen sind die folgenden Software Pakete und Plattformen:
Paket drupal
Fedora 9
Fedora 10
Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.
Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00758.html
https://www.redhat.com/archives/fedora-package-announce/2009-March/msg00757.html
(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.
Mit freundlichen Gruessen,
Detlev O. Matthies
– —
Detlev O. Matthies, M.Sc. (Incident Response Team)
DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski
Automatische Warnmeldungen https://www.cert.dfn.de/autowarn
– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-2869
2009-03-20 14:58:35
– ——————————————————————————–
Name : drupal-cck
Product : Fedora 10
Version : 6.x.2.2
Release : 1.fc10
URL : http://drupal.org/project/cck
Summary : Allows you create and customize fields using a web browser
Description :
The Content Construction Kit allows you create and customize fields using
a web browser. The 4.7x version of CCK creates custom content types and
allows you to add custom fields to them. In Drupal 5.x custom content
types can be created in core, and CCK allows you to add custom fields to
any content type.
– ——————————————————————————–
Update Information:
Fixes DRUPAL-SA-CONTRIB-2009-013 – XSS issue: http://drupal.org/node/406520
– ——————————————————————————–
ChangeLog:
* Thu Mar 19 2009 Jon Ciesla
– – New upstream, fixes DRUPAL-SA-CONTRIB-2009-013.
* Tue Feb 24 2009 Fedora Release Engineering
– – Rebuilt for https://fedoraproject.org/wiki/Fedora_11_Mass_Rebuild
* Wed Nov 5 2008 Jon Ciesla
– – New upstream, fixes DRUPAL-SA-2008-069.
* Tue Nov 4 2008 Jon Ciesla
– – New upstream.
– ——————————————————————————–
This update can be installed with the “yum” update program. Use
su -c ‘yum update drupal-cck’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.
All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)
iD8DBQFJx59Sk0kIxZMiiQ8RAhQ/AJ4uGr9EL/zJXPWzF1EP/AfylnfcPwCgtq4h
SRi1jIsAmPgxhjmjnZJoEAc=
=NcyX
—–END PGP SIGNATURE—–
