2016-0337: Drupal: Mehrere Schwachstellen ermöglichen u.a. einen Cross-Site-Scripting-Angriff
Historie:
- Version 1 (2016-02-26 13:42)
- Neues Advisory
- Version 2 (2016-02-29 14:40)
- Die bereits für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 5 und 6 veröffentlichten Sicherheitsupdates auf die Drupal Version 6.38 befinden sich mittlerweile im Status 'testing'. Weiterhin stehen für Fedora 22 und 23 sowie Fedora EPEL 5, 6 und 7 Sicherheitsupdates auf Drupal 7.43 im Status 'testing' bereit.
- Version 3 (2016-03-01 12:41)
- Debian stellt für Drupal 7 Sicherheitsupdates für die Distributionen Jessie (stable) und Wheezy (oldstable) bereit und adressiert damit die Schwachstellen SA-CORE-2016-001-A, SA-CORE-2016-001-B, SA-CORE-2016-001-C, SA-CORE-2016-001-F, SA-CORE-2016-001-G, SA-CORE-2016-001-H und SA-CORE-2016-001-I.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Linux
Beschreibung:
Mehrere Schwachstellen in Drupal ermöglichen einem entfernten, einfach authentifizierten Angreifer einen Cross-Site-Scripting (XSS)-Angriff, das Ausführen beliebigen Programmcodes, das Erlangen von Adminstratorrechten, die Manipulation von Dateien, das Umgehen von Sicherheitsvorkehrungen und die Darstellung falscher Informationen.
Der Hersteller stellt für Drupal core die Programmversionen 6.38, 7.43 und 8.0.4 als Sicherheitsupdates bereit. Die Programmversion 6 ist von allen Schwachstellen außer SA-CORE-2016-001-A und SA-CORE-2016-001-I betroffen und hat mit diesem Sicherheitsupdate das Ende des Lebenszyklus erreicht, wird also nicht weiter mit Updates versorgt. Drupal 7 ist von den Schwachstellen SA-CORE-2016-001-B, SA-CORE-2016-001-C, SA-CORE-2016-001-F, SA-CORE-2016-001-G, SA-CORE-2016-001-H und SA-CORE-2016-001-I betroffen. Drupal 8 ist von den Schwachstellen SA-CORE-2016-001-A, SA-CORE-2016-001-C, SA-CORE-2016-001-F und SA-CORE-2016-001-I betroffen.
Für die Distributionen Fedora 22 und 23 sowie Fedora EPEL 5 und 6 stehen Sicherheitsupdates auf Drupal 6.38 bereit, die sich derzeit noch im Status 'pending' befinden.
Schwachstellen:
SA-CORE-2016-001-A
Schwachstelle in Drupal ermöglicht Manipulation von DateienSA-CORE-2016-001-B
Schwachstelle in Drupal ermöglicht Umgehen von SicherheitsvorkehrungenSA-CORE-2016-001-C
Schwachstelle in Drupal ermöglicht Darstellung falscher InformationenSA-CORE-2016-001-D
Schwachstelle in Drupal ermöglicht Erlangen von AdministratorrechtenSA-CORE-2016-001-E
Schwachstelle in Drupal ermöglicht Cross-Site-Scripting-AngriffSA-CORE-2016-001-F
Schwachstelle in Drupal ermöglicht Darstellung falscher InformationenSA-CORE-2016-001-G
Schwachstelle in Drupal ermöglicht Darstellung falscher InformationenSA-CORE-2016-001-H
Schwachstelle in Drupal ermöglicht Erlangen von AdministratorrechtenSA-CORE-2016-001-I
Schwachstelle in Drupal ermöglicht Ausspähen von InformationenSA-CORE-2016-001-J
Schwachstelle in Drupal ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.