Debian-Sicherheitsankündigung

DSA-958-1 drupal -- Mehrere Verwundbarkeiten

Datum des Berichts:
27. Jan 2006
Betroffene Pakete:
drupal
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15674, BugTraq ID 15677, BugTraq ID 15663.
In Mitres CVE-Verzeichnis: CVE-2005-3973, CVE-2005-3974, CVE-2005-3975.
Weitere Informationen:

Mehrere sicherheitsrelevante Probleme wurden in Drupal entdeckt, einem umfangreichen Content Management- und Diskussionsprogramm. Das Common Vulnerabilities and Exposures project legt die folgenden Verwundbarkeiten fest:

  • CVE-2005-3973

    Mehrere Site-übergreifende Skripting-Verwundbarkeiten ermöglichen entfernten Angreifern, beliebige Webskripte oder HTML einzuschleusen.

  • CVE-2005-3974

    Wenn Drupal unter PHP5 läuft, werden Benutzerrechte nicht korrekt überprüft, so dass entfernten Angreifern die Möglichkeit gegeben wird, die Berechtigung für access user profiles zu umgehen.

  • CVE-2005-3975

    Ein Interpretationskonflikt ermöglicht entfernten authentifizierten Benutzern, beliebige Webskripte oder HTML mittels einer Datei einzuschleusen, die die Extension GIF oder JPEG benutzt, aber HTML enthält.

Die alte Stable-Distribution (Woody) enthält das Drupal-Paket nicht.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 4.5.3-5 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.5.6-1 behoben.

Wir empfehlen Ihnen, Ihr Drupal-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.