2014-0958: Drupal: Mehrere Schwachstellen ermöglichen u.a. Cross-Side-Scripting-Angriffe

Historie:

Version 1 (2014-07-24 18:16): Neues Advisory
Version 2 (2014-07-29 11:57): Für Fedora EPEL 5 und Fedora EPEL 6 wurden Sicherheitspatches erstellt.
Version 3 (2014-08-08 13:23): Für Fedora EPEL 5 und Fedora EPEL 6 wurden neue Sicherheitspatches zur Verfügung gestellt, welche die zuletzt veröffentlichten ersetzen.
Version 4 (2014-08-11 18:40): Für Fedora EPEL 5 und Fedora EPEL 6 wurden neue Sicherheitspatches zur Verfügung gestellt, welche die zuletzt veröffentlichten ersetzen. Für Fedora 19 und 20 stehen jetzt ebenfalls Sicherheitsupdates zur Verfügung.
Version 5 (2014-10-20 18:10): Für Fedora EPEL 5 und EPEL 6 wurden neue Sicherheitspatches in Form neuer Pakete von drupal7-7.32-1.el5 und drupal7-7.32-1.el6 zur Verfügung gestellt, die speziell die neu aufgenommene Schwachstelle CVE-2014-3704 adressieren, aber auch die anderen Schwachstellen beheben und die vorherigen Sicherheitsupdates ersetzen.

Betroffene Software

Server

Betroffene Plattformen

Linux

Beschreibung:

Mehrere Schwachstellen in Drupal 7 vor Version 7.29 und in Drupal 6 vor Version 6.32 ermöglichen es einem entfernten und zumeist authentisierten Angreifer, diese zu Denial-of-Service- oder Cross-Side-Scripting-Angriffen und dem Umgehen von Sicherheitsvorkehrungen auszunutzen. Mittlerweile stehen die Versionen 6.33 und 7.31 von Drupal zur Behebung dieser Schwachstellen zur Verfügung.

Schwachstellen:

CVE-2014-3704

SQL-Injection-Schwachstelle in Drupal7 ermöglicht das Ausführen von beliebigem Programmcode

CVE-2014-5019

Schwachstelle in Drupal ermöglicht Denial-of-Service-Angriff

CVE-2014-5020

Schwachstelle in Drupal ermöglicht das Umgehen von Sicherheitsvorkehrungen

CVE-2014-5021

Schwachstelle in Drupal ermöglicht Cross-Site-Scripting

CVE-2014-5022