Рекомендация Debian по безопасности

DSA-1808-1 drupal6 -- недостаточная проверка ввода

Дата сообщения:
01.06.2009
Затронутые пакеты:
drupal6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 529190, Ошибка 531386.
Более подробная информация:

Маркус Петрукс обнаружил межсайтовый скриптинг в модуле taxonomy для drupal6, полнофункциональной инфраструктуре управления содержимым. Возможно, некоторые браузеры, использующие кодирование UTF-7, уязвимы к различным вариантам межсайтового скритинга.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 6.6-3lenny2.

В предыдущем стабильном выпуске (etch) пакеты drupal6 отсутствуют.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 6.11-1.1.

Рекомендуется обновить пакеты drupal6.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny2.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny2.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.