Debian-Sicherheitsankündigung

DSA-958-1 drupal -- Mehrere Verwundbarkeiten

Datum des Berichts:

27. Jan 2006

Betroffene Pakete:

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In der Bugtraq-Datenbank (bei SecurityFocus): BugTraq ID 15674, BugTraq ID 15677, BugTraq ID 15663.
In Mitres CVE-Verzeichnis: CVE-2005-3973, CVE-2005-3974, CVE-2005-3975.

Weitere Informationen:

Mehrere sicherheitsrelevante Probleme wurden in Drupal entdeckt, einem umfangreichen Content Management- und Diskussionsprogramm. Das Common Vulnerabilities and Exposures project legt die folgenden Verwundbarkeiten fest:

CVE-2005-3973
Mehrere Site-übergreifende Skripting-Verwundbarkeiten ermöglichen entfernten Angreifern, beliebige Webskripte oder HTML einzuschleusen.
CVE-2005-3974
Wenn Drupal unter PHP5 läuft, werden Benutzerrechte nicht korrekt überprüft, so dass entfernten Angreifern die Möglichkeit gegeben wird, die Berechtigung für access user profiles zu umgehen.
CVE-2005-3975
Ein Interpretationskonflikt ermöglicht entfernten authentifizierten Benutzern, beliebige Webskripte oder HTML mittels einer Datei einzuschleusen, die die Extension GIF oder JPEG benutzt, aber HTML enthält.

Die alte Stable-Distribution (Woody) enthält das Drupal-Paket nicht.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 4.5.3-5 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.5.6-1 behoben.

Wir empfehlen Ihnen, Ihr Drupal-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.