• Adviserende ID: Drupal-SA-2010-002-CORE
  • Project: Drupal core
  • Versie: 5.x, 6.x
  • Datum: 11-August-2010
  • Gevaar voor de veiligheid: Kritische
  • Exploiteerbaarheid van: Remote
  • Kwetsbaarheid: Meerdere kwetsbaarheden

Beschrijving

Meerdere kwetsbaarheden en zwakke punten werden ontdekt in Drupal.

OpenID authenticatie bypass

De OpenID module biedt gebruikers de mogelijkheid om in te loggen op sites met een OpenID account.

De OpenID module niet implementeert alle vereiste controles van de OpenID 2.0 protocol en is kwetsbaar voor een aantal aanslagen.

In het bijzonder:
– Moet OpenID Controleren of "openid.response_nonce" is niet al gebruikt voor een stelling van de OpenID provider
– Moet OpenID controleren of de waarde van openid.return_to als verkregen uit de OpenID provider
– OpenID Dat moet controleren of alle velden die nodig zijn om te worden ondertekend zijn ondertekend

Deze specificatie Overtredingen kunnen kwaadaardige sites om te oogsten positieve beweringen van OpenID providers en gebruik ze op OpenID sites die gebruik maken van de module om toegang te krijgen tot accounts Reeds bestaande gebonden aan de geoogste OpenID. Onderschept Ook beweringen van OpenID providers kunnen worden afgespeeld en worden gebruikt om toegang te krijgen tot gebruikersaccounts gebonden aan de onderschepte OpenID.

Dit probleem doet zich Drupal 6.x alleen. Een aparte aankondiging van de veiligheid en de release is gepubliceerd voor de ingebrachte OpenID module voor Drupal 5.x

Bestand te downloaden toegang te omzeilen

De upload-module kunnen gebruikers bestanden en biedt toegang controle uploaden voor het downloaden van bestanden.

De module kijkt bestanden voor download in de database en downloaden na serveert hen om toegang te controleren. Echter, het houdt geen rekening met het feit dat bepaalde databaseconfiguraties zal niet appartementen Verschillen gehouden in bestandsnamen. Als een kwaadwillende gebruiker upload een bestand dat verschilt alleen in de brief van het geval, zal de toegang worden verleend voor de oudere bestanden uploaden, ongeacht de feitelijke toegang tot dat.

Dit probleem doet zich Drupal 5.x en 6.x

Reactie unpublishing bypass

De opmerking module Hiermee kunnen gebruikers hun opmerkingen over de inhoud van de site te verlaten.

De module ondersteunt unpublishing opmerkingen van bevoorrechte gebruikers. Gebruikers met de "reacties zonder toestemming goedkeuring" kon echter een URL, waardoor zij niet eerder gepubliceerde reacties publiceren ambacht.

Dit probleem doet zich Drupal 5.x en 6.x

Acties cross site scripting

De functie in combinatie met Drupal acties trigger module kunnen gebruikers Un bepaalde acties te configureren te gebeuren wanneer gebruikers zich registreren, wordt de inhoud ingediend, en zo verder, via een web based interface.

Gebruikers met "Dien toestemming acties" kunt invoeren actie beschrijvingen en die zijn niet goed gefilterd berichten op output. Gebruikers met inhoud en taxonomie tag indiening machtigingen kunt knopen en taxonomie termen die niet goed worden schoongemaakt voor opname in actie berichten en injecteren willekeurige HTML en script code in Drupal pagina’s. Een dergelijke cross-site scripting-aanval leidt tot het verwerven van de kwaadwillende gebruiker toegang als beheerder. Wikipedia heeft meer informatie over cross-site scripting (XSS).

Dit probleem doet zich Drupal 6.x alleen.

getroffen versies

  • Drupal 6.x vóór versie 6.18 of 6.19.
  • Drupal 5.x voor versie 5.23.

Oplossing

Installeer de laatste versie:

Drupal 5 zal niet langer worden gehandhaafd als Drupal 7 wordt vrijgegeven . Upgraden naar Drupal 6 wordt aanbevolen.

Het security-team begint een nieuwe praktijk van het vrijgeven van beide ook voor andere bugfixes en beveiligingsupdates zonder een beveiligingsupdate gecombineerd met andere bug fixes en verbeteringen. Of je kunt ervoor kiezen om alleen de beveiligingsupdate voor een onmiddellijke herstelling (die vereisen minder testen en kwaliteitszorg) of meer fixes en verbeteringen langs de security fixes door te kiezen voor Drupal Tussen 6.18 en Drupal 6.19. Lees de aankondiging voor meer informatie.

Gemeld door

De OpenID authenticatie bypass problemen werden gemeld door Johnny Bufu , Christian Schmidt en Heine Deelstra (*).
Het bestand te downloaden toegang te omzeilen werd gerapporteerd door Wolfgang Ziegler .
De opmerking depubliceren bypass kwestie werd gerapporteerd door Heine Deelstra (*).
De acties module cross-site scripting werd gerapporteerd door Justin Klein Keane en Heine Deelstra (*).

(*) Lid van de Drupal security team.

Vastgesteld door

Waren de OpenID authenticatie problemen opgelost door Christian Schmidt , Heine Deelstra (*) en Damien Tournoud (*).
Het bestand te downloaden toegang te omzeilen, werd vastgesteld bij Dave Reid (*) en Neil Drumm (*).
De opmerking depubliceren bypass probleem is verholpen door Heine Deelstra (*).
De acties module cross-site scripting is vastgesteld door Justin Klein Keane en Heine Deelstra (*).

(*) Lid van de Drupal security team.

Contact

Het security-team voor Drupal kan worden bereikt op de veiligheid op drupal.org of via het formulier op http://drupal.org/contact .