2019-0369: Drupal Core: Eine Schwachstelle ermöglicht die Ausführung beliebigen Programmcodes

Historie:

Version 1 (2019-02-21 11:23)

Neues Advisory

Version 2 (2019-02-25 11:46)

Für Fedora 28 und 29 sowie für Fedora EPEL 6 und 7 stehen Sicherheitsupdates für 'drupal7' im Status 'testing' bereit, mit denen die kritische Schwachstelle CVE-2019-6340 (siehe SA-CORE-2019-003) adressiert wird und zusätzlich die Schwachstellen CVE-2019-6338 und CVE-2019-6339 aus dem vorangegangenen Sicherheitshinweis von Drupal behoben werden (SA-CORE-2019-002). Darüber hinaus stehen Sicherheitsupdates für 'drupal7-link' im Status 'testing' bereit, um CVE-2019-6340 im Kontext von SA-CONTRIB-2019-020 zu beheben. Der Hersteller weist darauf hin, dass mittlerweile ein Exploit zur Ausnutzung der Schwachstelle öffentlich bekannt ist und dass weitere Möglichkeiten zur Ausnutzung existieren.

Version 3 (2019-02-27 11:03)

Für Fedora 28 und 29 stehen Sicherheitsupdates für 'drupal8' im Status 'testing' bereit, mit denen die kritische Schwachstelle CVE-2019-6340 (siehe SA-CORE-2019-003) adressiert wird und zusätzlich die Schwachstellen CVE-2019-6338 und CVE-2019-6339 aus den vorangegangenen Sicherheitshinweisen von Drupal behoben werden (SA-CORE-2019-002, SA-CORE-2019-001). Die Software wird damit auf Version 8.6.10 aktualisiert. Mit den Updates wird auch der PHP-Phar-Stream-Wrapper von TYPO3 ausgeliefert.

Version 4 (2019-03-21 13:52)

Der Hersteller informiert mit dem Drupal Security Advisory SA-CONTRIB-2019-041 über Sicherheitsupdates. Anwender des RESTful Moduls für Drupal 7.x sollten auf die RESTful Web Services Versionen 7.x-1.10 oder 7.x-2.17 aktualisieren. Da zur Ausnutzung der Schwachstelle Exploits öffentlich verfügbar sind, empfiehlt sich eine zügige Installation des Sicherheitsupdates.

Betroffene Software

Entwicklung
Server

Betroffene Plattformen

Apple
Linux
Microsoft

Beschreibung:

Ein entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Drupal Core ausnutzen, um beliebigen PHP-Programmcode zur Ausführung bringen.

Der Hersteller informiert über die Schwachstelle, die er als 'highly critical' einstuft, und stellt Drupal 8.6.10 und 8.5.11 als Sicherheitsupdates für die betroffenen Versionszweige bereit. Für Drupal 7 ist kein Core-Update notwendig. In jedem Fall müssen allerdings, ggf. zusätzlich, die eingesetzten Webdienste aktualisiert werden. Hierfür veröffentlicht der Hersteller weitere Sicherheitsupdates für Projekte von Drittanbietern (siehe Referenzen anbei).

Schwachstellen:

CVE-2019-6340

Schwachstelle in Drupal Core ermöglicht Ausführung beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.