DFN-CERT-2012-0604 Schwachstelle im Date API Modul von Drupal [Linux][Fedora]

DFN-CERT-2012-0604 Schwachstelle im Date API Modul von Drupal [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket drupal6-date

Betroffene Plattformen:

Fedora 16
Fedora 15

Ein authentifizierter Angreifer kann eine Schwachstelle im Date API Modul
von Drupal ausnutzen, um beliebige SQL-Kommandos in der Datenbank zur
Ausführung zu bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

SQL-Injektions-Schwachstelle im Drupal Date API Modul

Im Drupal Date API Modul existiert eine SQL-Injektions Schwachstelle, die
ein Angreifer ausnutzen kann, um beliebige SQL-Kommandos in der Datenbank
zur Ausführung zu bringen. Allerdings sind nur Installationen betroffen, die
das Modul Event verwenden und der Angreifer benötigt das Recht “administer
Date Tools” zur Ausnutzung der Schwachstelle.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2012-0604/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/076761.html
http://lists.fedoraproject.org/pipermail/package-announce/2012-April/076769.html

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben