[Fedora] Schwachstelle im Drupal CMS vor Version 6.11 – FEDORA-2009-4175

[Fedora] Schwachstelle im Drupal CMS vor Version 6.11 - FEDORA-2009-4175

Von

—–BEGIN PGP SIGNED MESSAGE—–
Hash: SHA1

Liebe Kolleginnen und Kollegen,

soeben erreichte uns nachfolgendes Fedora Security Advisory. Wir geben
diese Informationen unveraendert an Sie weiter.

Cross-Site Skripting Schwachstelle in Drupal

In Drupal wird die Ausgabe potentiell gefaehrlicher HTML Tags und
Attribute nicht ausreichend gefiltert. Bei der Ausgabe im UTF-8
Zeichensatz ist es moeglich, dass Byte-Sequenzen nicht gefiltert
werden, die potentiell gefaehrlich sind, wenn sie als UTF-7 Zeichen
interpretiert werden. Stehen diese Zeichen vor dem http-equiv=”Content-Type” /> Tag das den Seiteninhalt als UTF-8
spezifiziert, werden sie von bestimmten Browsern als UTF-7 dekodiert,
selbst wenn der HTTP Header den Inhalt korrekt als UTF-8 angibt. Ein
entfernter Angreifer kann diese Schwachstelle ausnutzen um Skriptcode
im Kontext der betroffenen Website im Browser des Benutzers
auszufuehren.

Cross-Site Request Forgery Schwachstelle in Drupal

Eingaben in ein Formular koennen, wenn es gelingt den Benutzer zum
Besuch der Website ueber eine manipulierte URL zu bewegen, an die
Website eines Dritten weitergeleitet werden. Von dieser Website sind
dann Cross Site Request Forgery Angriffe ueber das Formular moeglich.

Betroffen sind die folgenden Software Pakete und Plattformen:

Paket drupal

Fedora 9
Fedora 10

Vom Hersteller werden ueberarbeitete Pakete zur Verfuegung gestellt.

Hersteller Advisory:
https://www.redhat.com/archives/fedora-package-announce/2009-May/msg00108.html
https://www.redhat.com/archives/fedora-package-announce/2009-May/msg00133.html

(c) der deutschen Zusammenfassung bei DFN-CERT Services GmbH; die
Verbreitung, auch auszugsweise, ist nur unter Hinweis auf den Urheber,
DFN-CERT Services GmbH, und nur zu nicht kommerziellen Zwecken
gestattet.

Mit freundlichen Gruessen,
Detlev O. Matthies

– —

Detlev O. Matthies, M.Sc. (Incident Response Team)

DFN-CERT Services GmbH, https://www.dfn-cert.de, Phone +49 40 808077-555
Sitz / Register: Hamburg, AG Hamburg, HRB 88805, Ust-IdNr.: DE 232129737
Sachsenstrasse 5, 20097 Hamburg/Germany, CEO: Dr. Klaus-Peter Kossakowski

Automatische Warnmeldungen https://www.cert.dfn.de/autowarn

– ——————————————————————————–
Fedora Update Notification
FEDORA-2009-4175
2009-05-02 16:02:42
– ——————————————————————————–

Name : drupal
Product : Fedora 10
Version : 6.11
Release : 1.fc10
URL : http://www.drupal.org
Summary : An open-source content-management platform
Description :
Equipped with a powerful blend of features, Drupal is a Content Management
System written in PHP that can support a variety of websites ranging from
personal weblogs to large community-driven websites. Drupal is highly
configurable, skinnable, and secure.

– ——————————————————————————–
Update Information:

6.11, Fix for SA-CORE-2009-005. See http://drupal.org/node/449078 for more
information. Remember to log in to your site as the admin user before
upgrading this package. After upgrading the package, browse to
http://host/drupal/update.php to run the upgrade script.
– ——————————————————————————–
ChangeLog:

* Thu Apr 30 2009 Jon Ciesla – 6.11-1
– – Update to 6.11, SA-CORE-2009-005.
* Mon Apr 27 2009 Jon Ciesla – 6.10-2
– – Added SELinux/sendmail note to README, BZ 497642.
* Thu Feb 26 2009 Jon Ciesla – 6.10-1
– – Update to 6.10, SA-CORE-2009-003.
* Tue Feb 17 2009 Jon Ciesla – 6.9-2
– – Drop pre script for files move, 472642.
– – Updated drupal-README.fedora.
– – Mark cron job noreplace, BZ 485567.
* Thu Jan 15 2009 Jon Ciesla – 6.9-1
– – Upgrade to 6.9, SA-CORE-2009-001.
* Fri Jan 2 2009 Jon Ciesla – 6.8-1
– – Upgrade to 6.8.
– – Move files directories from sites to /var/lib/drupal/files/N for selinux reasons, 472642.
– – Included script to move files outside of default, use at your own risk, patches welcome.
* Thu Dec 11 2008 Jon Ciesla – 6.7-1
– – Upgrade to 6.7, SA-2008-073.
– ——————————————————————————–
References:

[ 1 ] Bug #498643 – drupal: XSS vulnerability in < 6.11 (SA-CORE-2009-005) https://bugzilla.redhat.com/show_bug.cgi?id=498643
– ——————————————————————————–

This update can be installed with the “yum” update program. Use
su -c ‘yum update drupal’ at the command line.
For more information, refer to “Managing Software with yum”,
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key. More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
– ——————————————————————————–
—–BEGIN PGP SIGNATURE—–
Version: GnuPG v1.4.2 (GNU/Linux)

iD8DBQFJ//Jck0kIxZMiiQ8RAjn/AJwIWwTcPilo+HyjDGPW77qz4Ws26wCfcxw4
/m7eRwMLJLIC2izjRbMzdFg=
=mb8x
—–END PGP SIGNATURE—–

© COMPUTEC MEDIA GmbH
Nach oben