2018-2138: Drupal Core: Mehrere Schwachstellen ermöglichen u. a. das Ausführen beliebigen Programmcodes
Historie:
- Version 1 (2018-10-19 19:56)
- Neues Advisory
- Version 2 (2018-10-22 13:40)
- Debian stellt Sicherheitsupdates für Drupal 7 basierend auf Backports für die stabile Distribution Stretch und für Jessie (LTS) zur Verfügung mit denen zwei Schwachstellen behoben werden, die für das Ausführen beliebigen Programmcodes und für das Umleiten auf eine manipulierte Webseite (Open Redirect) verwendet werden können.
- Version 3 (2018-11-01 12:24)
- Für Fedora 27, 28 und 29 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates in Form der Pakete 'drupal7-7.60-2.fc27', 'drupal7-7.60-2.fc28', 'drupal7-7.60-2.fc29', 'drupal7-7.60-2.el6' und 'drupal7-7.60-2.el7' im Status 'testing' bereit. Für Fedora 28 und 29 stehen außerdem die Pakete 'drupal8-8.6.2-1.fc28' und 'drupal8-8.6.2-1.fc29' als Sicherheitsupdates im Status 'testing' bereit.
Betroffene Software
Entwicklung
Server
Betroffene Plattformen
Apple
Linux
Microsoft
Beschreibung:
Mehrere Schwachstellen in Drupal Core ermöglichen einem entfernten, sowohl einfach als auch nicht authentisierten Angreifer das Ausführen beliebigen Programmcodes und das Umgehen von Sicherheitsvorkehrungen.
Drupal stellt für die Versionszweige 7.x die Version 7.60, für 8.5.x die Version 8.5.8 und für 8.6.x die Version 8.6.2 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung. Drupal weist darauf hin, dass alle Versionen des Versionszweiges 8.x von der Schwachstelle betroffen sind, aber Versionen vor 8.5.x nicht mehr unterstützt werden.
Schwachstellen:
SA-CORE-2018-006-A
Schwachstelle in Drupal Core ermöglicht Umgehen von SicherheitsvorkehrungenSA-CORE-2018-006-B
Schwachstelle in Drupal Core ermöglicht Umgehen von SicherheitsvorkehrungenSA-CORE-2018-006-C
Schwachstelle in Drupal Core ermöglicht Umgehen von SicherheitsvorkehrungenSA-CORE-2018-006-D
Schwachstelle in Drupal Core ermöglicht Ausführen beliebigen ProgrammcodesSA-CORE-2018-006-E
Schwachstelle in Drupal Core ermöglicht Ausführen beliebigen Programmcodes
© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist
auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese
Webseite.