UPDATE: DFN-CERT-2017-0688 Drupal Core: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][Windows]

UPDATE: DFN-CERT-2017-0688 Drupal Core: Eine Schwachstelle ermöglicht das Umgehen von Sicherheitsvorkehrungen [Linux][Fedora][Windows]

Von

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
Version 2 (24.04.2017):
Für Fedora 24, 25 und 26 steht Drupal in der Version 8.3.1 als
Sicherheitsupdate im Status ‘testing’ bereit.
Version 1 (20.04.2017):
Neues Advisory

Betroffene Software:

Drupal Core < 8.2.8 Drupal Core < 8.3.1 Betroffene Plattformen: GNU/Linux Microsoft Windows Red Hat Fedora 24 Red Hat Fedora 25 Red Hat Fedora 26 Eine Schwachstelle in Drupal ermöglicht es einem entfernten Angreifer, der sich Zugriff auf einen Benutzeraccount verschaffen kann, Zugangsbeschränkungen zu umgehen und sich unerlaubten Zugang zu Daten zu verschaffen, wodurch die Integrität und Vertraulichkeit eines Systems massiv geschädigt werden kann. Das Drupal Security Team informiert über die als kritisch eingestufte Schwachstelle in Drupal 8.x und stellt die Versionen 8.2.8 und 8.3.1 als Sicherheitsupdates bereit. Drupal 7.x ist von dieser Schwachstelle nicht betroffen. Patch: Drupal Security Advisory SA-CORE-2017-002 https://www.drupal.org/SA-CORE-2017-002

Patch:

Fedora Security Update FEDORA-2017-041473e742 (Fedora 25, drupal8-8.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-041473e742

Patch:

Fedora Security Update FEDORA-2017-ccdf272e60 (Fedora 26, drupal8-8.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-ccdf272e60

Patch:

Fedora Security Update FEDORA-2017-e8767a2fbb (Fedora 24, drupal8-8.3.1-1)

https://bodhi.fedoraproject.org/updates/FEDORA-2017-e8767a2fbb

CVE-2017-6919: Schwachstelle in Drupal ermöglicht Umgehen von
Sicherheitsvorkehrungen

In Drupal besteht eine Schwachstelle, wenn eine Drupal-Webseite für die
Verwendung von RESTful Web Services konfiguriert ist, sie gleichzeitig
‘PATCH’-Anfragen akzeptiert und ein Angreifer in der Lage ist einen
Benutzeraccount zu erhalten oder zu erstellen. Eine erfolgreiche Ausnutzung
der Schwachstelle ermöglicht es einem Angreifer nicht näher spezifizierte
Zugangsbeschränkungen zu umgehen und sich unerlaubten Zugang zu Daten zu
verschaffen, wodurch die Integrität und Vertraulichkeit eines Systems
komplett beeinträchtigt werden kann.

Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
https://portal.cert.dfn.de/adv/DFN-CERT-2017-0688/

Drupal Security Advisory SA-CORE-2017-002:
https://www.drupal.org/SA-CORE-2017-002

Schwachstelle CVE-2017-6919 (NVD):
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-6919

Fedora Security Update FEDORA-2017-041473e742 (Fedora 25, drupal8-8.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-041473e742

Fedora Security Update FEDORA-2017-ccdf272e60 (Fedora 26, drupal8-8.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-ccdf272e60

Fedora Security Update FEDORA-2017-e8767a2fbb (Fedora 24, drupal8-8.3.1-1):
https://bodhi.fedoraproject.org/updates/FEDORA-2017-e8767a2fbb

(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

© COMPUTEC MEDIA GmbH
Nach oben