UPDATE: DFN-CERT-2014-1526 Drupal 7: Zwei Schwachstellen ermöglichen einen Denial-of-Service Angriff [Linux][Debian][Fedora]

UPDATE: DFN-CERT-2014-1526 Drupal 7: Zwei Schwachstellen ermöglichen einen Denial-of-Service Angriff [Linux][Debian][Fedora]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.11.2014):
Für Fedora EPEL 5, 6 und 7 werden aktualisierte Pakete von Drupal 7
(drupal7-7.34-1.el5, drupal7-7.34-1.el6 und drupal7-7.34-1.el7) – alle im
Status “testing” – zur Verfügung gestellt, welche diese Schwachstellen
adressieren.
Version 1 (21.11.2014):
Neues Advisory

Betroffene Software:

Drupal <= 7.34 Betroffene Plattformen: Debian Linux 7.7 Wheezy Extra Packages for Red Hat Enterprise Linux 5 Extra Packages for Red Hat Enterprise Linux 6 Extra Packages for Red Hat Enterprise Linux 7 Zwei Schwachstellen in Drupal ermöglichen einem entfernten, authentifizierten Angreifer Sicherheitsvorkehrungen zu umgehen und einem entfernten, nicht authentifizierten Angreifer einen Denial-of-Service-Angriff durchzuführen. Für Debian Linux 7.7 (Wheezy) werden diese Schwachstellen mit Version 7.14-2+deb7u8 behoben. Patch: Debian Security Advisory DSA-3075-1 https://www.debian.org/security/2014/dsa-3075

Patch:

Fedora Security Update FEDORA-EPEL-2014-4205

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4205/drupal7-7.34-1.el5

Patch:

Fedora Security Update FEDORA-EPEL-2014-4208

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4208/drupal7-7.34-1.el7

Patch:

Fedora Security Update FEDORA-EPEL-2014-4237

https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4237/drupal7-7.34-1.el6

CVE-2014-9016: Schwachstelle in Drupal ermöglicht Denial-of-Service-Angriff

Eine Schwachstelle in Drupal im Zusammenhang mit der Passwort-Hasing-API
führt dazu, dass durch einen präparierten API-Aufruf die verfügbaren CPU-
und Speicher-Ressourcen aufgebraucht werden. Ein entfernter, nicht
authentifizierter Angreifer kann einen Denial-of-Service-Angriff
durchführen.

CVE-2014-9015: Schwachstelle in Drupal ermöglicht das Umgehen von
Sicherheitsvorkehrungen

Eine Schwachstelle in Drupal führt dazu, dass es durch eine präparierten
HTTP-Anfrage möglich ist, eine andere zufällig gewählte Benutzersitzung zu
übernehmen. Ein entfernter, angemeldeter Benutzer, als Angreifer, kann durch
das Ausnutzen der Schwachstelle Sicherheitsvorkehrungen umgehen.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2014-1526/

Debian Security Advisory DSA-3075-1:
https://www.debian.org/security/2014/dsa-3075

Schwachstelle CVE-2014-9015 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9015

Schwachstelle CVE-2014-9016 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-9016

Fedora Security Update FEDORA-EPEL-2014-4205:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4205/drupal7-7.34-1.el5

Fedora Security Update FEDORA-EPEL-2014-4208:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4208/drupal7-7.34-1.el7

Fedora Security Update FEDORA-EPEL-2014-4237:
https://admin.fedoraproject.org/updates/FEDORA-EPEL-2014-4237/drupal7-7.34-1.el6

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben