Debian-Sicherheitsankündigung

DSA-1007-1 drupal -- Mehrere Verwundbarkeiten

Datum des Berichts:
17. Mär 2006
Betroffene Pakete:
drupal
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.
Weitere Informationen:

Das Drupal Security Team entdeckte mehrere Verwundbarkeiten in Drupal, einem vollausgestatteten Inhaltsverwaltungs- und Diskussionssystem. Das Common Vulnerabilities and Exposures Project legt die folgenden Probleme fest:

  • CVE-2006-1225

    Aufgrund fehlender Entschärfung der Eingabe könnte ein entfernter Angreifer Kopfzeileninformationen in ausgehende E-Mails einfügen und Drupal als Spam-Proxy verwenden.

  • CVE-2006-1226

    Fehlende Konsistenzprüfung der Eingabe erlaubt es Angreifern, beliebige Web-Skripte oder HTML einzufügen.

  • CVE-2006-1227

    Über menu.module erstellte Menüpunkte lassen eine Zugriffskontrolle vermissen, was es entfernten Angreifern erlauben mag, auf Administratorseiten zuzugreifen.

  • CVE-2006-1228

    Markus Petrux entdeckte einen Fehler in der Sitzungsfixierung, der es entfernten Angreifern erlauben mag, die Privilegien des Benutzers Drupal zu erlangen.

Die alte Stable-Distribution (Woody) enthält das Drupal-Paket nicht.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 4.5.3-6 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.5.8-1 behoben.

Wir empfehlen Ihnen, Ihr Drupal-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.