Aviso de seguridad de Debian

DSA-958-1 drupal -- varias vulnerabilidades

Fecha del informe:

27 de ene de 2006

Paquetes afectados:

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 15674, Id. en BugTraq 15677, Id. en BugTraq 15663.
En el diccionario CVE de Mitre: CVE-2005-3973, CVE-2005-3974, CVE-2005-3975.

Información adicional:

Se han descubierto varios problemas relacionados con la seguridad en drupal, un motor de gestión de contenido/debates repleto de funcionalidades. El proyecto Common Vulnerabilities and Exposures identifica las siguientes vulnerabilidades:

CVE-2005-3973
Varias vulnerabilidades de guiones a través del sitio permitían que los atacantes remotos inyectasen guiones web o HTML arbitrario.
CVE-2005-3974
Al funcionar con PHP5, Drupal no aseguraba los privilegios del usuario, lo que permitía que los atacantes remotos eludiesen el permiso "acceso a perfiles de usuarios.
CVE-2005-3975
Un conflicto en la interpretación permitía que los usuarios autenticados remotamente inyectasen guiones web o HTML arbitrario mediante HTML en un archivo con extensión GIF o JPEG.

La distribución estable anterior (woody) no contiene los paquetes de drupal.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 4.5.3-5.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 4.5.6-1.

Le recomendamos que actualice los paquetes de drupal.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.