2019-0123: Drupal Core: Zwei Schwachstellen ermöglichen u. a. die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-01-17 15:31)

Neues Advisory

Version 2 (2019-01-21 14:16)

Debian stellt für die stabile Distribution Stretch ein Sicherheitsupdate von 'drupal7' zur Verfügung.

Version 3 (2019-02-04 14:00)

Für Debian 8 Jessie (LTS) steht nun ebenfalls ein Sicherheitsupdate für 'drupal7' zur Verfügung.

Version 4 (2019-02-20 10:50)

Die Behebung der Schwachstelle CVE-2018-1000888 in PEAR Archive_Tar hat auch Einfluss auf einige Drupal-Konfigurationen, die auf die Bibliothek zurückgreifen. Für Debian Jessie (LTS) steht ein Sicherheitsupdate für 'drupal7' bereit, das das Problem im Kontext von CVE-2019-6338 adressiert. Zusätzlich wird eine durch den Fix für CVE-2019-6339 eingeführte Regression behoben.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Zwei Schwachstellen im Kontext von PHP-Archivdateien (PHAR) betreffen Drupal Core und ermöglichen einem entfernten, einfach authentifizierten Angreifer die Ausführung beliebigen Programmcodes und die Manipulation von Dateien. Zur Ausnutzung einer der Schwachstellen sind in Standardinstallationen Administratorrechte notwendig.

Drupal stellt für die Versionszweige 7.x die Version 7.62, für 8.5.x die Version 8.5.9 und für 8.6.x die Version 8.6.6 als Sicherheitsupdates zur Behebung der Schwachstellen zur Verfügung und weist darauf hin, dass im Kontext der Sicherheitsupdates die Dateierweiterung '.phar' zur Liste der gefährlichen Dateierweiterungen hinzugefügt wurde und der 'Stream Wrapper' für 'phar://'-URIs für Drupal 7 auf PHP 5.3.2 standardmäßig deaktiviert wurde.

Schwachstellen:

CVE-2019-6338

Schwachstelle in Drupal Core ermöglicht Manipulation von Dateien

CVE-2019-6339

Schwachstelle in Drupal Core ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.