Drupal Security Team har opdaget flere sårbarheder i Drupal, et komplet system til indholdshåndtering og diskussionsstyring. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
På grund af manglende kontrol af inddata, kunne en fjernangriber indsprøjte headere fra udgående e-mail og bruge Drupal som en spam-proxy.
Manglende inddatakontroller tillod angribere at indspøjte vilkårlige webskripter eller HTML.
Menupunkter oprettet med menu.module manglende adgangskontrol, hvilket kunne gøre det muligt for fjernangribere at få adgang til administrative sider.
Markus Petrux har opdaget en fejl i session fixation'en, hvilket kunne gøre det muligt for fjernangribere at opnå brugerrettigheder i Drupal.
Den gamle stabile distribution (woody) indeholder ikke Drupal-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 4.5.3-6.
I den ustabile distribution (sid) er disse problemer rettet i version 4.5.8-1.
Vi anbefaler at du opgraderer din drupal-pakke.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.