Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 4 (30.10.2014):
Der Hersteller informiert über die Ausnutzung der Schwachstelle.
Version 3 (20.10.2014):
Für Fedora EPEL 6 wurde ein Sicherheitsupdate zur Verfügung gestellt,
welches mit einem Update auf Version 7.32 von Drupal7 die Schwachstelle
CVE-2014-3704 adressiert.

Version 2 (17.10.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 stehen
Sicherheitsupdates zur Verfügung.
Version 1 (16.10.2014):
Neues Advisory

Betroffene Software:

Drupal >= 7.0
Drupal <= 7.31 Betroffene Plattformen: Debian Linux 7.6 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in Drupal7 ermöglicht einem entfernten, nicht authentifizierten Angreifer, SQL-Injection-Angriffe durchzuführen, dadurch beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über die betroffene Webseite zu übernehmen. Update: Der Hersteller hat die Kri­ti­ka­li­tät der am 15. Oktober veröffentlichten Schwachstelle auf 'sehr kritisch' abgeändert, da ihm Informationen über die Ausnutzung der Sicherheitslücke vorliegen. Nach Herstellerangabe muss jedes Drupal 7 System, welches am 16. Oktober 2014 um 01:00 Uhr deutscher Ortszeit noch nicht auf die Version 7.32 aktualisiert war, als kompromittiert betrachtet werden, da ab dem Zeitpunkt automatisierte Angriffe starteten. Sofern Ihr System zu dem Zeitpunkt noch mit einer verwundbaren Softwareversion betrieben wurde, sollten Sie Ihr System schnellstmöglich überprüfen. Eine nachträgliche Aktualisierung auf Version 7.32 behebt dabei keine zuvor erfolgte Infektion. Sollten Sie feststellen, dass Ihr System ohne eine Aktivität von Ihrer Seite aktualisiert wurde, so ist dies ein Hinweis auf eine bereits erfolgte Infektion, da derartige Updates von Angreifern durchgeführt wurden, um andere Angreifer auszuschließen. Im Falle einer Infektion müssen Sie Ihr System zurücksetzen. Hinweise vom Hersteller für die Recovery-Prozedur finden Sie über das referenzierte Security Advisory. Patch: Debian Security Advisory DSA-3051-1 https://www.debian.org/security/2014/dsa-3051

Patch:

Drupal Security Advisory SA-CORE-2014-005

https://www.drupal.org/SA-CORE-2014-005

Patch:

Fedora Security Update FEDORA-2014-12934

https://admin.fedoraproject.org/updates/FEDORA-2014-12934/drupal7-7.32-1.fc21

Patch:

Fedora Security Update FEDORA-2014-13030

https://admin.fedoraproject.org/updates/FEDORA-2014-13030/drupal7-7.32-1.fc20

Patch:

Fedora Security Update FEDORA-2014-13053

https://admin.fedoraproject.org/updates/FEDORA-2014-13053/drupal7-7.32-1.fc19

Patch:

Fedora Security Update FEDORA-EPEL-2014-3421

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3421/drupal7-7.32-1.el6

CVE-2014-3704: SQL-Injection-Schwachstelle in Drupal7 ermöglicht das
Ausführen von beliebigem Programmcode

Die Funktion “expandArguments” von Drupal7 behandelt übergebene Arrays mit
Schlüsseln für die Benutzung in Prepared Statements bei SQL-Befehlen nicht
korrekt, woraus die Möglichkeit für SQL-Injection-Angriffe entsteht. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, indem er speziell präparierte Schlüssel als Eingabe für Arrays
benutzt, um über SQL-Injection anschließend beliebige Daten in der Datenbank
ändern, löschen, lesen oder hinzufügen zu können. Mit der Möglichkeit
beliebige Daten in die Datenbank zu schreiben und über Callbacks aufzurufen,
ist es dem Angreifer danach möglich, beliebigen PHP Code auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1369/

Debian Security Advisory DSA-3051-1:
https://www.debian.org/security/2014/dsa-3051

Drupal Security Advisory SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005

Schwachstelle CVE-2014-3704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3704

Fedora Security Update FEDORA-2014-12934:
https://admin.fedoraproject.org/updates/FEDORA-2014-12934/drupal7-7.32-1.fc21

Fedora Security Update FEDORA-2014-13030:
https://admin.fedoraproject.org/updates/FEDORA-2014-13030/drupal7-7.32-1.fc20

Fedora Security Update FEDORA-2014-13053:
https://admin.fedoraproject.org/updates/FEDORA-2014-13053/drupal7-7.32-1.fc19

Fedora Security Update FEDORA-EPEL-2014-3421:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3421/drupal7-7.32-1.el6

Heise Meldung ‘Drupal-Lücke mit dramatischen Folgen’:
http://www.heise.de/security/meldung/Drupal-Luecke-mit-dramatischen-Folgen-2438298.html

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 3 (20.10.2014):
Für Fedora EPEL 6 wurde ein Sicherheitsupdate zur Verfügung gestellt,
welches mit einem Update auf Version 7.32 von Drupal7 die Schwachstelle
CVE-2014-3704 adressiert.

Version 2 (17.10.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 stehen
Sicherheitsupdates zur Verfügung.
Version 1 (16.10.2014):
Neues Advisory

Betroffene Software:

Drupal >= 7.0
Drupal <= 7.31 Betroffene Plattformen: Debian Linux 7.6 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Extra Packages for Red Hat Enterprise Linux 6 Eine Schwachstelle in Drupal7 ermöglicht einem entfernten, nicht authentifizierten Angreifer, SQL-Injection-Angriffe durchzuführen, dadurch beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über die betroffene Webseite zu übernehmen. Patch: Debian Security Advisory DSA-3051-1 https://www.debian.org/security/2014/dsa-3051

Patch:

Drupal Security Advisory SA-CORE-2014-005

https://www.drupal.org/SA-CORE-2014-005

Patch:

Fedora Security Update FEDORA-2014-12934

https://admin.fedoraproject.org/updates/FEDORA-2014-12934/drupal7-7.32-1.fc21

Patch:

Fedora Security Update FEDORA-2014-13030

https://admin.fedoraproject.org/updates/FEDORA-2014-13030/drupal7-7.32-1.fc20

Patch:

Fedora Security Update FEDORA-2014-13053

https://admin.fedoraproject.org/updates/FEDORA-2014-13053/drupal7-7.32-1.fc19

Patch:

Fedora Security Update FEDORA-EPEL-2014-3421

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3421/drupal7-7.32-1.el6

CVE-2014-3704: SQL-Injection-Schwachstelle in Drupal7 ermöglicht das
Ausführen von beliebigem Programmcode

Die Funktion “expandArguments” von Drupal7 behandelt übergebene Arrays mit
Schlüsseln für die Benutzung in Prepared Statements bei SQL-Befehlen nicht
korrekt, woraus die Möglichkeit für SQL-Injection-Angriffe entsteht. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, indem er speziell präparierte Schlüssel als Eingabe für Arrays
benutzt, um über SQL-Injection anschließend beliebige Daten in der Datenbank
ändern, löschen, lesen oder hinzufügen zu können. Mit der Möglichkeit
beliebige Daten in die Datenbank zu schreiben und über Callbacks aufzurufen,
ist es dem Angreifer danach möglich, beliebigen PHP Code auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1369/

Debian Security Advisory DSA-3051-1:
https://www.debian.org/security/2014/dsa-3051

Drupal Security Advisory SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005

Schwachstelle CVE-2014-3704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3704

Fedora Security Update FEDORA-2014-12934:
https://admin.fedoraproject.org/updates/FEDORA-2014-12934/drupal7-7.32-1.fc21

Fedora Security Update FEDORA-2014-13030:
https://admin.fedoraproject.org/updates/FEDORA-2014-13030/drupal7-7.32-1.fc20

Fedora Security Update FEDORA-2014-13053:
https://admin.fedoraproject.org/updates/FEDORA-2014-13053/drupal7-7.32-1.fc19

Fedora Security Update FEDORA-EPEL-2014-3421:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-3421/drupal7-7.32-1.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (17.10.2014):
Für die Distributionen Fedora 19, Fedora 20 und Fedora 21 stehen
Sicherheitsupdates zur Verfügung.
Version 1 (16.10.2014):
Neues Advisory

Betroffene Software:

Drupal >= 7.0
Drupal <= 7.31 Betroffene Plattformen: Debian Linux 7.6 Wheezy Red Hat Fedora 19 Red Hat Fedora 20 Red Hat Fedora 21 Eine Schwachstelle in Drupal7 ermöglicht einem entfernten, nicht authentifizierten Angreifer, SQL-Injection-Angriffe durchzuführen, dadurch beliebigen Programmcode zur Ausführung zu bringen und die Kontrolle über die betroffene Webseite zu übernehmen. Patch: Debian Security Advisory DSA-3051-1 https://www.debian.org/security/2014/dsa-3051

Patch:

Drupal Security Advisory SA-CORE-2014-005

https://www.drupal.org/SA-CORE-2014-005

Patch:

Fedora Security Update FEDORA-2014-12934

https://admin.fedoraproject.org/updates/FEDORA-2014-12934/drupal7-7.32-1.fc21

Patch:

Fedora Security Update FEDORA-2014-13030

https://admin.fedoraproject.org/updates/FEDORA-2014-13030/drupal7-7.32-1.fc20

Patch:

Fedora Security Update FEDORA-2014-13053

https://admin.fedoraproject.org/updates/FEDORA-2014-13053/drupal7-7.32-1.fc19

CVE-2014-3704: SQL-Injection-Schwachstelle in Drupal7 ermöglicht das
Ausführen von beliebigem Programmcode

Die Funktion “expandArguments” von Drupal7 behandelt übergebene Arrays mit
Schlüsseln für die Benutzung in Prepared Statements bei SQL-Befehlen nicht
korrekt, woraus die Möglichkeit für SQL-Injection-Angriffe entsteht. Ein
entfernter, nicht authentifizierter Angreifer kann diese Schwachstelle
ausnutzen, indem er speziell präparierte Schlüssel als Eingabe für Arrays
benutzt, um über SQL-Injection anschließend beliebige Daten in der Datenbank
ändern, löschen, lesen oder hinzufügen zu können. Mit der Möglichkeit
beliebige Daten in die Datenbank zu schreiben und über Callbacks aufzurufen,
ist es dem Angreifer danach möglich, beliebigen PHP Code auszuführen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1369/

Debian Security Advisory DSA-3051-1:
https://www.debian.org/security/2014/dsa-3051

Drupal Security Advisory SA-CORE-2014-005:
https://www.drupal.org/SA-CORE-2014-005

Schwachstelle CVE-2014-3704 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-3704

Fedora Security Update FEDORA-2014-12934:
https://admin.fedoraproject.org/updates/FEDORA-2014-12934/drupal7-7.32-1.fc21

Fedora Security Update FEDORA-2014-13030:
https://admin.fedoraproject.org/updates/FEDORA-2014-13030/drupal7-7.32-1.fc20

Fedora Security Update FEDORA-2014-13053:
https://admin.fedoraproject.org/updates/FEDORA-2014-13053/drupal7-7.32-1.fc19

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.