DFN-CERT-2014-0958 Drupal: Mehrere Schwachstellen ermöglichen u.a. Cross-Side-Scripting-Angriffe [Linux][Debian]

DFN-CERT-2014-0958 Drupal: Mehrere Schwachstellen ermöglichen u.a. Cross-Side-Scripting-Angriffe [Linux][Debian]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Drupal < 6.32 Drupal < 7.29 Betroffene Plattformen: Debian Linux 7.5 Wheezy Debian Linux 8.0 Jessie Mehrere Schwachstellen in Drupal 7 vor Version 7.29 und in Drupal 6 vor Version 6.32 ermöglichen es einem entfernten und zumeist authentisierten Angreifer, diese zu Denial-of-Service- oder Cross-Side-Scripting-Angriffen und dem Umgehen von Sicherheitsvorkehrungen auszunutzen. Für Debian 7.5 und 8.0 stehen Sicherheitsupdates zur Verfügung. Patch: Debian Security Advisory DSA-2983-1 https://www.debian.org/security/2014/dsa-2983

CVE-2014-5022: Schwachstelle in Drupal ermöglicht Cross-Site-Scripting

In Drupal 7 vor Version 7.29, besteht eine Schwachstelle im “AJAX” Modul,
die den Inhalt von Textfeldern unzureichend prüft. Ein entfernter, einfach
authentisierter Angreifer kann die Schwachstelle zu einem
Cross-Side-Scripting-Angriff ausnutzen.

CVE-2014-5021: Schwachstelle in Drupal ermöglicht Cross-Site-Scripting

Eine Schwachstelle in der “Form API” von Drupal 6 vor Version 6.32 sowie
Drupal 7 vor Version 7.29 behandelt Benutzer der Rolle “administer taxonomy”
fehlerhaft. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle zu einem Cross-Side-Scripting-Angriff ausnutzen.

CVE-2014-5020: Schwachstelle in Drupal ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Drupal 7 vor Version 7.29 prüft Dateiberechtigungen
unzureichend. Ein entfernter, einfach authentisierter Angreifer kann die
Schwachstelle zu einem unberechtigten Zugriff auf Dateien ausnutzen.

CVE-2014-5019: Schwachstelle in Drupal ermöglicht Denial-of-Service-Angriff

Es existiert eine Schwachstelle in Drupal 6 vor Version 6.32 sowie Drupal 7
vor Version 7.29. Ein entfernter, nicht authentisierter Angreifer kann die
Schwachstelle, mit Hilfe eines veränderten HTTP-Headers zu einem
Denial-of-Service-Angriff ausnutzen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-0958/

Debian Security Advisory DSA-2983-1:
https://www.debian.org/security/2014/dsa-2983

Schwachstelle CVE-2014-5019 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5019

Schwachstelle CVE-2014-5020 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5020

Schwachstelle CVE-2014-5021 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5021

Schwachstelle CVE-2014-5022 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-5022

(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.

© COMPUTEC MEDIA GmbH
Nach oben