Debian-Sicherheitsankündigung

DSA-1007-1 drupal -- Mehrere Verwundbarkeiten

Datum des Berichts:

17. Mär 2006

Betroffene Pakete:

drupal

Verwundbar:

Sicherheitsdatenbanken-Referenzen:

In Mitres CVE-Verzeichnis: CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.

Weitere Informationen:

Das Drupal Security Team entdeckte mehrere Verwundbarkeiten in Drupal, einem vollausgestatteten Inhaltsverwaltungs- und Diskussionssystem. Das Common Vulnerabilities and Exposures Project legt die folgenden Probleme fest:

CVE-2006-1225
Aufgrund fehlender Entschärfung der Eingabe könnte ein entfernter Angreifer Kopfzeileninformationen in ausgehende E-Mails einfügen und Drupal als Spam-Proxy verwenden.
CVE-2006-1226
Fehlende Konsistenzprüfung der Eingabe erlaubt es Angreifern, beliebige Web-Skripte oder HTML einzufügen.
CVE-2006-1227
Über menu.module erstellte Menüpunkte lassen eine Zugriffskontrolle vermissen, was es entfernten Angreifern erlauben mag, auf Administratorseiten zuzugreifen.
CVE-2006-1228
Markus Petrux entdeckte einen Fehler in der Sitzungsfixierung, der es entfernten Angreifern erlauben mag, die Privilegien des Benutzers Drupal zu erlangen.

Die alte Stable-Distribution (Woody) enthält das Drupal-Paket nicht.

Für die Stable-Distribution (Sarge) wurden diese Probleme in Version 4.5.3-6 behoben.

Für die Unstable-Distribution (Sid) wurden diese Probleme in Version 4.5.8-1 behoben.

Wir empfehlen Ihnen, Ihr Drupal-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Architektur-unabhängige Dateien:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.