Drupals säkerhetsgrupp upptäckte flera sårbarheter i Drupal, ett innehållshanterings- och diskussionssystem med full funktionalitet. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
På grund av saknad städning av indata kunde en angripare utifrån injicera huvuden i utgående e-postmeddelande och använda Drupal som en skräppostmellanserver.
Saknade säkerhetskontroller av indata gjorde det möjligt för angripare att injicera godtyckliga webbskript eller HTML.
Menyposter som skapats med menu.module saknade åtkomstkontroll, vilket kunde göra det möjligt för angripare utifrån att nå administratörssidor.
Markus Petrux upptäckte ett fel i sessionsfixering, vilket kunde tillåta angripare utifrån att uppnå Drupalanvändarprivilegier.
Den gamla stabila utgåvan (Woody) innehåller inte Drupal-paket.
För den stabila utgåvan (Sarge) har dessa problem rättats i version 4.5.3-6.
För den instabila utgåvan (Sid) har dessa problem rättats i version 4.5.8-1.
Vi rekommenderar att ni uppgraderar ert drupal-paket.
MD5-kontrollsummor för dessa filer finns i originalbulletinen.