DFN-CERT-2013-1990 Drupal: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Codes [Linux][Debian]

DFN-CERT-2013-1990 Drupal: Mehrere Schwachstellen ermöglichen Ausführung beliebigen Codes [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Drupal <= 6.28 Drupal <= 7.23 Debian Linux <= 7.2 Wheezy Betroffene Plattformen: Debian Linux Ein entfernter Angreifer kann diese Schwachstellen ausnutzen, um beliebige Befehle zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2804 http://www.debian.org/security/2013/dsa-2804

CVE-2013-6389: Schwachstelle in Drupal 7 ermöglicht Umleiten auf beliebige
Inhalte

Das Overlay-Modul in Drupal 7 überprüft URLs nicht hinreichend bevor deren
Inhalt angezeigt wird. Dies ermöglicht einem entfernten Angreifer einen
Benutzer auf beliebige Inhalte umzuleiten.

CVE-2013-6388: Schwachstelle in Drupal 7 ermöglicht Cross Site Scripting

Drupal 7 enthält im Color-Modul eine Cross Site Scripting Schwachstelle.
Diese ermöglicht einem entfernten Angreifer JavaScript in CSS im Kontext
eines authentifizierten Benutzers mit administrativen Rechten zur Ausführung
zu bringen. Diese Schwachstelle kann ausschließlich bei der Verwendung von
Opera, MS Internet Explorer oder älteren Browsern aller Hersteller
ausgenutzt werden.

CVE-2013-6387: Schwachstelle in Drupal 7 ermöglicht Cross Site Scripting

Die Bildbeschreibungen des Image-Moduls in Drupal 7 werden nicht hinreichend
gefiltert. Dies ermöglicht einem entfernten Angreifer mit bestimmten
Privilegien beliebige HTML- und Script-Befehle im Kontext eines anderen
Benutzers zur Ausführung zu bringen.

CVE-2013-6385: Schwachstelle in Drupal 6 und 7 ermöglicht Ausführung
beliebiger Befehle

Die Cross Site Request Forgery Validation der Form API in Drupal 6 und 7
führt in einigen häufig auftretenden Fällen unsichere Operationen aus. Dies
ermöglicht einem entfernten Angreifer beliebige Befehle zur Ausführung zu
bringen.

CVE-2013-6386: Schwachstelle in Drupal 6 und 7 ermöglicht Erraten von
Passwörtern

In Drupal 6 und 7 verwenden die Form API, OpenID und die Generation von
zufälligen Passwörtern die Funktion mt_rand(). Die ‘Seeds’ dieser Funktion
können mit Brute-Force-Werkzeugen vorhergesagt werden. Dies ermöglicht einem
entfernten Angreifer Passwörter und andere sicherheitsrelevante Ausgaben der
Funktion zu erraten.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1990/

Debian Security Advisory DSA-2804:
http://www.debian.org/security/2013/dsa-2804

Schwachstelle CVE-2013-6385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6385

Schwachstelle CVE-2013-6386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6386

Schwachstelle CVE-2013-6387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6387

Schwachstelle CVE-2013-6388 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6388

Schwachstelle CVE-2013-6389 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6389

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben