Debians sikkerhedsbulletin
DSA-958-1 drupal -- flere sårbarheder
- Rapporteret den:
- 27. jan 2006
- Berørte pakker:
- drupal
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Bugtraq-databasen (hos SecurityFocus): BugTraq-id 15674, BugTraq-id 15677, BugTraq-id 15663.
I Mitres CVE-ordbog: CVE-2005-3973, CVE-2005-3974, CVE-2005-3975. - Yderligere oplysninger:
-
Flere sikkerhedsrelaterede problemer er opdaget i drupal, en omfattende "maskine" til indholdshåndtering og diskussioner. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende sårbarheder:
- CVE-2005-3973
Flere sårbarheder i forbindelse med udførelse af skripter på tværs af websteder (cross-site scripting) tillod fjernangribere at indsprøjte vilkårlige webskripter eller HTML-kode.
- CVE-2005-3974
Når Drupal kørte under PHP5, blev brugerrettigheder ikke altid udøvet korrekt, hvilket tillod fjernangribere at omgå tilladelsen "access user profiles".
- CVE-2005-3975
En fortolkningskonflikt tillod fjern-autentificerede brugere at indsprøjte vilkårlige webskriper eller HTML-kode via HTML i en fil med en GIF- eller JPEG-filudvidelse.
Den gamle stabile distribution (woody) indeholder ikke drupal-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 4.5.3-5.
I den ustabile distribution (sid) er disse problemer rettet i version 4.5.6-1.
Vi anbefaler at du opgraderer din drupal-pakke.
- CVE-2005-3973
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.