Liebe Kolleginnen und Kollegen,
bitte beachten Sie die folgende Sicherheitsmeldung.
Historie:
Version 3 (30.12.2013):
In Debian Squeeze wurden die beiden relevanten Schwachstellen
CVE-2013-6385 und CVE-2013-6386 behoben.
Version 2 (02.12.2013):
Die Schwachstellen sind in den Distributionen Fedora 19 und 20 behoben.
Version 1 (28.11.2013):
Neues Advisory
Betroffene Software:
Drupal <= 6.28 Drupal <= 7.23 Betroffene Plattformen: Debian Linux 6.0.8 Squeeze Debian Linux 7.2 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Ein entfernter, nicht authentifizierter Angreifer kann diese Schwachstellen ausnutzen, um beliebige Befehle zur Ausführung zu bringen. Patch: Debian Security Advisory DSA-2804 http://www.debian.org/security/2013/dsa-2804
Patch:
Fedora Update FEDORA-2013-22507
https://admin.fedoraproject.org/updates/FEDORA-2013-22507/drupal6-6.29-1.fc19
Patch:
Fedora Update FEDORA-2013-22352
https://admin.fedoraproject.org/updates/FEDORA-2013-22352/drupal6-6.29-1.fc20
Patch:
Debian Security Advisory DSA-2828
http://www.debian.org/security/2013/dsa-2828
CVE-2013-6389: Schwachstelle in Drupal 7 ermöglicht Umleiten auf beliebige
Inhalte
Das Overlay-Modul in Drupal 7 überprüft URLs nicht hinreichend bevor deren
Inhalt angezeigt wird. Dies ermöglicht einem entfernten Angreifer einen
Benutzer auf beliebige Inhalte umzuleiten.
CVE-2013-6388: Schwachstelle in Drupal 7 ermöglicht Cross Site Scripting
Drupal 7 enthält im Color-Modul eine Cross Site Scripting Schwachstelle.
Diese ermöglicht einem entfernten Angreifer JavaScript in CSS im Kontext
eines authentifizierten Benutzers mit administrativen Rechten zur Ausführung
zu bringen. Diese Schwachstelle kann ausschließlich bei der Verwendung von
Opera, MS Internet Explorer oder älteren Browsern aller Hersteller
ausgenutzt werden.
CVE-2013-6387: Schwachstelle in Drupal 7 ermöglicht Cross Site Scripting
Die Bildbeschreibungen des Image-Moduls in Drupal 7 werden nicht hinreichend
gefiltert. Dies ermöglicht einem entfernten Angreifer mit bestimmten
Privilegien beliebige HTML- und Script-Befehle im Kontext eines anderen
Benutzers zur Ausführung zu bringen.
CVE-2013-6385: Schwachstelle in Drupal 6 und 7 ermöglicht Ausführung
beliebiger Befehle
Die Cross Site Request Forgery Validation der Form API in Drupal 6 und 7
führt in einigen häufig auftretenden Fällen unsichere Operationen aus. Dies
ermöglicht einem entfernten Angreifer beliebige Befehle zur Ausführung zu
bringen.
CVE-2013-6386: Schwachstelle in Drupal 6 und 7 ermöglicht Erraten von
Passwörtern
In Drupal 6 und 7 verwenden die Form API, OpenID und die Generation von
zufälligen Passwörtern die Funktion mt_rand(). Die ‘Seeds’ dieser Funktion
können mit Brute-Force-Werkzeugen vorhergesagt werden. Dies ermöglicht einem
entfernten, nicht authentifizierten Angreifer, Passwörter und andere
sicherheitsrelevante Ausgaben der Funktion zu erraten.
Referenzen:
Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2013-1990/
Debian Security Advisory DSA-2804:
http://www.debian.org/security/2013/dsa-2804
Schwachstelle CVE-2013-6385 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6385
Schwachstelle CVE-2013-6386 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6386
Schwachstelle CVE-2013-6387 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6387
Schwachstelle CVE-2013-6388 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6388
Schwachstelle CVE-2013-6389 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2013-6389
Fedora Update FEDORA-2013-22507:
https://admin.fedoraproject.org/updates/FEDORA-2013-22507/drupal6-6.29-1.fc19
Fedora Update FEDORA-2013-22352:
https://admin.fedoraproject.org/updates/FEDORA-2013-22352/drupal6-6.29-1.fc20
Debian Security Advisory DSA-2828:
http://www.debian.org/security/2013/dsa-2828
(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
