Debian-Sicherheitsankündigung

DSA-840-1 drupal -- Fehlende Entschärfung der Eingabe

Datum des Berichts:
04. Okt 2005
Betroffene Pakete:
drupal
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2005-2498.
Weitere Informationen:

Stefan Esser vom »Hardened-PHP«-Projekt berichtete über eine ernsthafte Verwundbarkeit in der XML-RPC-Bibliothek von Drittanbietern, die in einigen Versionen von Drupal enthalten ist. Ein Angreifer kann auf der Ziel-Website beliebigen PHP-Code ausführen. Diese Aktualisierung enthält die neueste Version der XML-RPC-Bibliothek von den ursprünglichen Entwicklern.

Die alte Stable-Distribution (Woody) ist von diesem Problem nicht betroffen, da drupal nicht enthalten ist.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 4.5.3-4 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 4.5.5-1 behoben.

Wir empfehlen Ihnen, Ihr drupal-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.