[Sec-cert] UPDATE: DFN-CERT-2014-0082 Debian Linux, Drupal: Mehrere Schwachstellen ermöglichen das Erlangen von Administratorrechten [Linux][Debian]

portal at dfn-cert.de portal at dfn-cert.de
Mo Feb 3 18:15:02 CET 2014


Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Historie:
  Version 2 (03.02.2014):
    Die Schwachstelle CVE-2014-1475 ist auch in der Debian-Distribution 6.x
    enthalten und wurde dort behoben.
  Version 1 (22.01.2014):
    Neues Advisory

Betroffene Software:

  Drupal <= 7.25
  

Betroffene Plattformen:

  Debian Linux 6.0.8 Squeeze
  Debian Linux 7.3 Wheezy
  Debian Linux 8.0 Jessie
  


Zwei Schwachstellen in den Drupalmodulen OpenID und Taxonomy ermöglichen
einem entfernten, authentifizierten Angreifer das Erlangen von
Administratorrechten oder unberechtigt Zugriff auf Informationen zu
erlangen. 


Patch:

  Debian Security Advisory DSA-2847

  <http://www.debian.org/security/2014/dsa-2847>

Patch:

  Debian Security Advisory 2851

  <http://www.debian.org/security/2014/dsa-2851>


CVE-2014-1476: Schwachstelle in Drupal

  Das Taxonomy Modul von Drupal enthält eine Schwachstelle, die eine Umgehung
  der Zugriffskontrolle ermöglicht. Unter bestimmten Umständen kann durch das
  Modul noch nicht publizierter Inhalt Benutzern ohne entsprechende
  Berechtigung angezeigt werden. Ein entfernter, authentifizierter Angreifer
  kann diese Schwachstelle ausnutzen, um unberechtigt Zugriff auf
  Informationen zu erlangen.


CVE-2014-1475: Schwachstelle im OpenID Modul in Drupal

  Im OpenID Modul von Drupal existiert eine nicht näher beschriebene
  Schwachstelle. Ein entfernter, authentifizierter Benutzer kann diese
  Schwachstelle ausnutzen, um sich als ein anderer Benutzer, was auch
  Administratoren einschließt, anzumelden.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
  <https://portal.cert.dfn.de/adv/DFN-CERT-2014-0082/>

Debian Security Advisory DSA-2847:
  <http://www.debian.org/security/2014/dsa-2847>

Schwachstelle CVE-2014-1476 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1476>

Schwachstelle CVE-2014-1475 (NVD):
  <http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-1475>

Debian Security Advisory 2851:
  <http://www.debian.org/security/2014/dsa-2851>


(c) DFN-CERT Services GmbH
Die nicht kommerzielle Weiterverbreitung ist mit Hinweis auf den
Copyrightinhaber erlaubt.
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : smime.p7s
Dateityp    : application/pkcs7-signature
Dateigröße  : 4335 bytes
Beschreibung: nicht verfügbar
URL         : <https://listserv.uni-hohenheim.de/pipermail/sec-cert/attachments/20140203/c5e19c89/attachment.p7s>


Mehr Informationen über die Mailingliste Sec-cert