DFN-CERT

Advisory-Archiv

2018-0792: Drupal Core: Eine Schwachstelle ermöglicht die komplette Kompromittierung des Systems

Historie:

Version 1 (2018-04-26 12:38)
Neues Advisory
Version 2 (2018-04-26 14:21)
Für Debian Jessie 8.10 (oldstable) und Stretch 9.4 (stable) stehen Backport-Sicherheitsupdates für 'drupal7' zur Behebung der Schwachstelle bereit.
Version 3 (2018-04-30 12:10)
Für Fedora 27 steht nun ein Sicherheitsupdate in Form des Pakets 'drupal8-8.4.8-1.fc27' im Status 'testing' bereit, welches zusätzlich die mit der Drupal Version 8.4.7 behobene Cross-Site-Scripting (XSS)-Schwachstelle CVE-2018-9861 (SA-CORE-2018-003) in der JavaScript-Bibliothek CKEditor adressiert. CKEditor ist Bestandteil von Drupal Core 8.x.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Eine Schwachstelle in Drupal Core ermöglicht einem entfernten, einfach authentisierten Angreifer die Ausführung beliebigen Programmcodes und damit die komplette Kompromittierung der betroffenen Drupal-Instanz. Der Hersteller stuft die Schwachstelle als 'highly critical' ein und empfiehlt ein schnellstmögliches Update. Offenbar wird diese Schwachstelle und die Schwachstelle CVE-2018-7600, welche einem entfernten, nicht authentisierten Angreifer die komplette Kompromittierung der Drupal-Instanz ermöglicht, bereits durch verfügbare Exploits ausgenutzt (siehe Drupal Security Advisory SA-CORE-2018-004 in den Referenzen). Drupal hat ein Dokument veröffentlicht, in dem Hinweise zum Vorgehen bei erfolgten Kompromittierungen aufgeführt sind.

Drupal stellt für den Versionszweig 8.5.x die Version 8.5.3 und den Versionszweig 7.x die Version 7.59 als Sicherheitsupdates zur Behebung der Schwachstelle zur Verfügung. Die ebenfalls betroffene Version 8.4.x wird eigentlich nicht länger unterstützt und normalerweise nicht mit Sicherheitsupdates versorgt, aufgrund der Kritikalität der Schwachstelle wird hier von dem Standard allerdings abgewichen und die Version 8.4.8 als Sicherheitsupdate bereitgestellt. Für alle Versionszweige 7.x und 8.x steht alternativ zum Update auf die fehlerbereinigte Version ein Patch zur Verfügung. Bevor dieser installiert wird, muss allerdings zunächst der Patch aus dem Drupal Security Advisory SA-CORE-2018-002 installiert werden.

Für die Distributionen Fedora 26 und Fedora 27 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für den Versionszweig 7 in Form von 'drupal7-7.59-1'-Paketen im Status 'pending' bereit. Für die Fedora-Distributionen stehen derzeit noch keine Sicherheitsupdates für Drupal Version 8.x zur Verfügung.

Schwachstellen:

CVE-2018-7602

Schwachstelle in Drupal ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.