[Warning] Kritische Sicherheitslücke in Drupal

Robert Waldner waldner at cert.at
Thu Oct 16 08:32:43 CEST 2014 

16. Oktober 2014

Beschreibung

   In der verbreiteten CMS-Software Drupal ist eine kritische
   Sicherheitslücke (SQL Injection) entdeckt worden.

   Durch Ausnutzung dieses Fehler können SQL-Queries auf betroffenen
   Systemen ausgeführt werden, deren Inhalt durch den Angreifer bestimmt
   wird. In bestimmten Situationen ist dies auch für anonyme Benutzer
   über das Netzwerk (Internet) möglich, und kann zu Remote Code
   Execution (mit den Rechten des Webserver-Users) führen.

   CVEs: CVE-2014-3704

Auswirkungen

   Drupal hat eine Funktion, mit der durch Benutzer eingegebene Daten
   geprüft werden, bevor sie vom System weiter verarbeitet werden. Da
   diese Funktion einen Fehler enthält, ist es für einen Angreifer
   möglich, Daten in einer Weise zu übergeben, die dann zu vom Angreifer
   gesteuerten SQL-Queries und in weiterer Folge zur Ausführung von
   PHP-Code des Angreifers führen können.
   Dadurch kann in weiterer Folge die Integrität des gesamten Systems
   gefährdet sein.

   Da eine Ausnutzung durch anonyme (unauthentisiert/unauthorisiert)
   Benutzer aus dem Internet möglich ist, ist davon auszugehen, dass
   bald entsprechende Angriffsversuche in automatisierter Weise gegen
   eine grosse Anzahl von Drupal-Installationen durchgeführt werden.
   Entsprechender Proof-of-Concept - Code ist bereits im Umlauf.

Betroffene Systeme

   Alle Systeme, auf denen Drupal Core in Versionen kleiner als 7.32
   installiert ist, und die aus dem Internet erreichbar sind - dies wird
   auf die meisten Installationen zutreffen.

Abhilfe

   Installation entsprechend upgedateter Versionen der Distributionen,
   manuelles Upgrade auf Version 7.32 oder neuer, oder Installation des
   im Advisory angeführten Patches.

   Sollte das nicht einfach möglich sein, zB wegen
   Kompatibilitäts-Problemen mit Erweiterungen, so kann eventuell ein
   Intrusion Prevention System (kommerziell, oder auch Open Source wie
   Apache mit mod_security) - mit entsprechenden Regeln - als
   Zwischenlösung dienen.

Hinweis

   Generell empfiehlt CERT.at, wo möglich die "automatisches
   Update"-Features von Software zu nutzen, parallel Firewall-Software
   aktiv und den Virenschutz aktuell zu halten.
     __________________________________________________________________

   Informationsquelle(n):
   Drupal Security Advisory SA-CORE-2014-005 (englisch)
   https://www.drupal.org/SA-CORE-2014-005
   Drupal FAQ zu SA-CORE-2014-005 (englisch)
   https://www.drupal.org/node/2357241


-- 
// CERT Austria - Robert Waldner <waldner at cert.at>
// http://www.cert.at/ - T: +43 1 5056416 78
// Eine Initiative der nic.at GmbH
// http://www.nic.at/ - Firmenbuchnummer 172568b, LG Salzburg

-------------- next part --------------
A non-text attachment was scrubbed...
Name: signature.asc
Type: application/pgp-signature
Size: 819 bytes
Desc: OpenPGP digital signature
URL: <http://lists.cert.at/cgi-bin/mailman/private/warning/attachments/20141016/8e69cd79/attachment.sig>

More information about the Warning mailing list