DFN-CERT-2013-0024 Mehrere Schwachstellen in Drupal 7 [Linux][Fedora]

DFN-CERT-2013-0024 Mehrere Schwachstellen in Drupal 7 [Linux][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Paket drupal7

Betroffene Plattformen:

Fedora 16
Fedora 17

Mehrere Schwachstellen in Drupal 7 erlauben Angreifern schlimmstenfalls
beliebigen PHP-Code zur Ausführung bringen.

Software Upgrade:

Der Hersteller stellt Updates zur Behebung der Schwachstelle bereit.

http://dl.fedoraproject.org/pub/fedora/linux/updates/

CVE-2012-5651: Schwachstelle in Drupal

In Drupal 6.x vor Version 6.27 und 7.x vor Version 7.18 werden Informationen
für blockierte Benutzer angezeigt. Dies erlaubt entfernten Angreifern durch
Lesen von Suchergebnisse ggf. sensible Informationen zu erlangen.

CVE-2012-5652: Schwachstelle in Drupal

In Drupal 6.x vor Version 6.27 wird der Zugriff auf Suchergebnisse bzw.
RSS-Feeds nicht ausreichend eingeschränkt. Dies erlaubt entfernten Angreifer
sensible Informationen über hochgeladene Dateien zu erlangen.

CVE-2012-5653: Schwachstelle in Drupal

In Drupal 6.x vor Version 6.27 und 7.x vor 7.18 wird beim File Upload der
Dateiname auf unsichere Weise validiert. Ein entfernter Benutzer kann
mittels eines Null-Bytes im Dateinamen die Sicherheitsmechanismen umgehen
und beliebigen PHP-Code zur Ausführung bringen.

CVE-2012-2922: Schwachstelle in Drupal bis Version 7.14

Drupal enthält eine Schwachstelle in der Funktion “request_path()”. Ein
entfernter Angreifer kann durch Manipulation des sog. q[]-Parameters eine
Fehlermeldung auslösen, die es erlaubt den Installationspfad der
Drupal-Installation auszulesen. Dies ermöglicht einem Angreifer
möglicherweise weitere Attacken auf das System.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-0024/

Das Hersteller Advisory:
http://lists.fedoraproject.org/pipermail/package-announce/2013-January/095372.html
http://lists.fedoraproject.org/pipermail/package-announce/2013-January/095371.html

Schwachstelle CVE-2012-2922:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-2922

Schwachstelle CVE-2012-5651:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5651

Schwachstelle CVE-2012-5652:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5652

Schwachstelle CVE-2012-5653:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2012-5653

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben