Aviso de seguridad de Debian

DSA-958-1 drupal -- varias vulnerabilidades

Fecha del informe:
27 de ene de 2006
Paquetes afectados:
drupal
Vulnerable:
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 15674, Id. en BugTraq 15677, Id. en BugTraq 15663.
En el diccionario CVE de Mitre: CVE-2005-3973, CVE-2005-3974, CVE-2005-3975.
Información adicional:

Se han descubierto varios problemas relacionados con la seguridad en drupal, un motor de gestión de contenido/debates repleto de funcionalidades. El proyecto Common Vulnerabilities and Exposures identifica las siguientes vulnerabilidades:

  • CVE-2005-3973

    Varias vulnerabilidades de guiones a través del sitio permitían que los atacantes remotos inyectasen guiones web o HTML arbitrario.

  • CVE-2005-3974

    Al funcionar con PHP5, Drupal no aseguraba los privilegios del usuario, lo que permitía que los atacantes remotos eludiesen el permiso "acceso a perfiles de usuarios.

  • CVE-2005-3975

    Un conflicto en la interpretación permitía que los usuarios autenticados remotamente inyectasen guiones web o HTML arbitrario mediante HTML en un archivo con extensión GIF o JPEG.

La distribución estable anterior (woody) no contiene los paquetes de drupal.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 4.5.3-5.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 4.5.6-1.

Le recomendamos que actualice los paquetes de drupal.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Componentes independientes de la arquitectura:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.