Drupal 4.7.8 en Drupal 5.3 vrijgegeven

door Heine | 18 oktober, 2007 - 02:28

Beste Drupallers,

Zojuist zijn Drupal 4.7.8 en 5.3 vrijgegeven. Deze versies bevatten o.a correcties voor een aantal beveiligingsfouten.

Je kunt de originele aankondiging lezen op http://drupal.org/drupal-5.3.

De opgeloste beveiligingsfouten:

http://drupal.org/node/184315 HTTP response splitting (4.7.x, 5.x)
http://drupal.org/node/184316 Uitvoer van willekeurige code (5.x)
http://drupal.org/node/184320 XSS via uploads (4.7.x, 5.x)
http://drupal.org/node/184348 Gebruikers verwijderen CSRF (5.x)
http://drupal.org/node/184354 Status van commentaren (4.7.x, 5.x)

Ik wil de verschillende leden van het beveiligingteam en de versiebeheerders hartelijk danken voor hun harde werk.

Een speciale vermelding verdienen Jeff Eaton die op het laatste moment de installer patch gecontroleerd heeft, Robert Douglass die als coordinator van de release optrad en die Zeit Online voor het uitvoeren van een code analyse.

‹ Drupal op de ICT-dag van 3 december in Geel Dutch Drupal User Group meeting ›
 

Vooral het probleem met de install.php (http://drupal.org/node/184316) is kritisch.
Omdat snelsnel patchen of upgraden niet altijd een optie is, kan je als oplossing voor dit probleem ook de install.php wissen.

Om tijd te winnen en snel te kunnen reageren, kozen wij er voor om install.php tijdelijk te renamen, en de extentie te wijzigen met een eenvoudig commando dat recursief alle directories af loopt, en elke install.php renamed. Dit kan met dit commando:
for FILE in `find . -name install.php`; do NEW=`echo $FILE.SA_2007_025.htm`; mv $FILE $NEW; done

Zie de post op Krimson.be voor meer info (http://krimson.be/en/small-script-replace-install-php-SA-2007-025)

door Jo Wouters | 18 oktober, 2007 - 12:39
afbeelding van george@dynapres.nl

"The Drupal installer allows any visitor to provide credentials for a database when the site's own database is not reachable. This allows attackers to run arbitrary code on the site's server."

Zoals ik dat lees is er dus een beveiligingsrisico als de database van de site niet bereikbaar is/wordt. Dat is normaliter niet het geval.

Ik denk dat het beter is om sites te updaten, dan om overhaast bestanden te verwijderen.

door george@dynapres.nl | 18 oktober, 2007 - 13:12

Een update is inderdaad beter (en het lost ook de overige security issues op); maar als je +50 sites moet gaan upgraden en testen, is een rename van install.php een eerste eenvoudige ingreep.

door Jo Wouters | 18 oktober, 2007 - 15:09

Opgelet: hierdoor zal *elke* install.php die in deze folder staat (en zijn subfolders) gerenamed worden naar install.php.SA_2007_025.htm
Ik meld dit maar extra :-) Controleer dus zeker eerst of dit wel de bedoeling is (er kunnen in je directory ook install.php-script staan van andere paketten)

door Jo Wouters | 18 oktober, 2007 - 12:46
afbeelding van george@dynapres.nl

CHANGELOG.txt
.htaccess
includes/common.inc
includes/install.inc
install.php
misc/favicon.ico
modules/aggregator/aggregator.info
modules/block/block.info
modules/block/block.module
modules/blog/blog.info
modules/blogapi/blogapi.info
modules/book/book.info
modules/color/color.info
modules/color/color.module
modules/comment/comment.info
modules/comment/comment.module
modules/contact/contact.info
modules/drupal/drupal.info
modules/filter/filter.info
modules/filter/filter.module
modules/forum/forum.info
modules/forum/forum.module
modules/help/help.info
modules/help/help.module
modules/legacy/legacy.info
modules/locale/locale.info
modules/menu/menu.info
modules/node/node.info
modules/node/node.module
modules/path/path.info
modules/ping/ping.info
modules/poll/poll.info
modules/poll/poll.module
modules/profile/profile.info
modules/search/search.info
modules/search/search.install
modules/statistics/statistics.info
modules/system/system.info
modules/system/system.install
modules/system/system.module
modules/taxonomy/taxonomy.info
modules/taxonomy/taxonomy.module
modules/throttle/throttle.info
modules/tracker/tracker.info
modules/upload/upload.info
modules/upload/upload.module
modules/user/user.info
modules/user/user.module
modules/watchdog/watchdog.info
themes/chameleon/common.css

door george@dynapres.nl | 18 oktober, 2007 - 13:32
afbeelding van george@dynapres.nl

Als we de .info bestanden weglaten (die wijzigen bij elke release), dan blijft er over:

CHANGELOG.txt
.htaccess
includes/common.inc
includes/install.inc
install.php
misc/favicon.ico
modules/block/block.module
modules/color/color.module
modules/comment/comment.module
modules/filter/filter.module
modules/forum/forum.module
modules/help/help.module
modules/node/node.module
modules/poll/poll.module
modules/search/search.install
modules/system/system.install
modules/system/system.module
modules/taxonomy/taxonomy.module
modules/upload/upload.module
modules/user/user.module
themes/chameleon/common.css

door george@dynapres.nl | 18 oktober, 2007 - 13:34

Ik begrijpen niet waarom error, laatste tijd doen raar!
mischien ligt mysql ?

Drupal database update

* user warning: Duplicate key name 'created' query: ALTER TABLE users ADD KEY created (created) in /home/test2/domains/test2.ready4host.eu/public_html/includes/database.mysql.inc on line 172.
* user warning: Table 'test2_drupal.cache_views' doesn't exist query: DELETE FROM cache_views in /home/test2/domains/test2.ready4host.eu/public_html/includes/database.mysql.inc on line 172.

Updates were attempted. If you see no failures below, you may proceed happily to the administration pages. Otherwise, you may need to update your database manually. All errors have been logged.

* Main page
* Administration pages

The following queries were executed
system module
Update #1022

* Failed: ALTER TABLE {users} ADD KEY created (created)

comment module
Update #1

* No queries

content module
Update #1008

* No queries

video_cck module
Update #5

* DELETE FROM {cache_content}
* Failed: DELETE FROM {cache_views}
* DELETE FROM {cache}

door Tom Jacobs | 19 oktober, 2007 - 14:26

Ik heb de update uitgevoerd, ik heb update.php laten lopen maar die heeft niets gevonden dat hij moest vernieuwen. Is dat correct?

Verder: op één van mijn sites (apart gehost) ben even voor het uitvallen van de site 'gecontacteerd' door @scanhttp:/dongxiang.jxsme.gov.cn/safeon.txt Die site ligt nu plat: er zou een probleem zijn met de database. Iemand een idee of het met de exploit te maken kan hebben?

door Rodeo | 8 november, 2007 - 21:30


Ik heb de update uitgevoerd, ik heb update.php laten lopen maar die heeft niets gevonden dat hij moest vernieuwen. Is dat correct?

Dat klopt.


Verder: op één van mijn sites (apart gehost) ben even voor het uitvallen van de site 'gecontacteerd' door @scanhttp:/dongxiang.jxsme.gov.cn/safeon.txt Die site ligt nu plat: er zou een probleem zijn met de database. Iemand een idee of het met de exploit te maken kan hebben?

Het ziet er niet uit als de exploit zoals beschreven in de advisory en lijkt op een standaard probe voor een PHP include beveiligingsfout.

door Heine | 8 november, 2007 - 22:18

@webmaster:
Op front staat nog 5.2 als laatste versie.

Kees

Web Applicatie

door kees@qrios | 26 november, 2007 - 10:56
afbeelding van george@dynapres.nl

Dat is 2 maanden terug al gemeld.. (en niet zo makkelijk te wijzigen blijkbaar)

http://drupal.be/node/673#comment-2636

door george@dynapres.nl | 26 november, 2007 - 11:15