DFN-CERT-2016-0977 Drupal: Zwei Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux][Windows]

DFN-CERT-2016-0977 Drupal: Zwei Schwachstellen ermöglichen u.a. das Erlangen von Administratorrechten [Linux][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

Drupal Core < 7.44 Drupal Core < 8.1.3 Drupal Views < 7.x-3.14 Betroffene Plattformen: GNU/Linux Microsoft Windows Eine kritische Schwachstelle im User-Modul von Drupal Core 7 ermöglicht einem entfernten, einfach authentifizierten Angreifer das Erlangen von Administratorrechten. Eine weitere Schwachstelle im Views-Modul von Drupal Core 8 und im (nicht automatisch aktivierten) Views-Modul für Drupal Core 7 ermöglicht einem entfernten, nicht authentifizierten Angreifer das Ausspähen von Informationen. Drupal stellt zur Behebung der kritischen Schwachstelle die Programmversion Drupal Core 7.44 und zur Behebung der weiteren Schwachstelle die Programmversionen Drupal Core 8.1.3 und Drupal Views 7.x-3.14 als Sicherheitsudpates bereit. Patch: Drupal Security Advisory SA-CONTRIB-2016-036 https://www.drupal.org/node/2749333

Patch:

Drupal Security Advisory SA-CORE-2016-002

https://www.drupal.org/SA-CORE-2016-002

SA-CORE-2016-002-B: Schwachstelle in Drupal ermöglicht Ausspähen von
Informationen

Benutzer des Views-Moduls für Drupal 7.x und von Drupal 8 Core können die
Anzahl von Treffern des Statistik-Moduls für ein Ergebnis in einem ‘View’
einsehen, auch wenn sie die dafür nötige Berechtigung ‘View content count’
nicht haben. Der View muss dafür so konfiguriert sein, dass er eine
derartige Information enthält. Ein entfernter, nicht authentifizierter
Angreifer mit Zugang zu einem entsprechenden View kann Informationen
ausspähen.

SA-CORE-2016-002-A: Schwachstelle in Drupal ermöglicht Erlangen von
Administratorrechten

Im User-Modul von Drupal 7 Core kann durch spezielle Änderungen am
Programmcode oder neu eingebrachten Programmcode während des Absendens des
Benutzerformulars ein Neuaufbau desselben mit eigenen Daten ausgelöst
werden. Ein entfernter, einfach authentifizierter Angreifer kann den
Programmcode so manipulieren, dass er durch den nachfolgenden
Speichervorgang der Benutzerdaten beliebige Benutzerrollen auf dem System
zugewiesen bekommt; dazu gehören auch Administratorrechte.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2016-0977/

Drupal Security Advisory SA-CONTRIB-2016-036:
https://www.drupal.org/node/2749333

Drupal Security Advisory SA-CORE-2016-002:
https://www.drupal.org/SA-CORE-2016-002

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben