Debians sikkerhedsbulletin

DSA-1792-1 drupal6 -- flere sårbarheder

Rapporteret den:
6. maj 2009
Berørte pakker:
drupal6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 526378.
I Mitres CVE-ordbog: CVE-2009-1575, CVE-2009-1576.
Yderligere oplysninger:

Flere sårbarheder er opdaget i drupal, et webindholdshåndteringssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-1575

    pod.Edge opdagede en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, der kunne udløses når nogle browsere fortolkede UTF-8-strenge som UTF-7, hvis de viste sig før det genererede HTML-dokument havde defineret sin Content-Type. Det gjorde det muligt for en ondsindet bruger at udføre vilkårligt JavaScript i webstedets kontekst, hvis vedkommende var tildelt rettigheder til at offentliggøre indhold.

  • CVE-2009-1576

    Moritz Naumann opdagede en informationsblotlæggelsessårbarhed. Hvis en bruger blev narret til at besøge webstedet gennem en særligt fremstillet URL og dernæst submit'ede en formular (så som en søgeboks) fra denne side, kunne de indsendte oplysninger blive omdirigeret til en tredjeparts websted afgjort af URL'en og dermed afslørede til pågældende tredjepart. Tredjepartens websted kunne dernæst udføre et angreb i forbindelse med forespørgsforfalsking på tværs af webstederne, mod den indsendte formular.

Den gamle stabile distribution (etch) indeholder ikke drupal og er dermed ikke berørt.

I den stabile distribution (lenny), er disse problemer rettet i version 6.6-3lenny1.

I den ustabile distribution (sid), er disse problemer rettet i version 6.11-1

Vi anbefaler at du opgraderer din drupal6-pakke.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.diff.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.