Debian セキュリティ勧告
DSA-2016-1 drupal6 -- 複数の脆弱性
- 報告日時:
- 2010-03-13
- 影響を受けるパッケージ:
- drupal6
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 572439.
- 詳細:
-
多機能コンテンツ管理フレームワーク drupal6 に複数の欠陥が発見されました (SA-CORE-2010-001)。
インストール時のクロスサイトスクリプティング攻撃
インストール時、ユーザの提供した値が直接出力されるため、悪意を持ったユ ーザが URL を細工してクロスサイトスクリプティング攻撃を実行可能です。こ の攻撃は未インストールのサイトでのみ実行可能です。
オープンリダイレクション
drupal_goto() API 関数がフィッシング攻撃を許します。このため、攻撃者は Drupal サイトを任意のサイトに転送する攻撃が可能です。但し、ユーザの送っ たデータは転送されません。
ローカルモジュールのクロスサイトスクリプティング
ロカールモジュールとそれに依存する contribute モジュールが表示される言語 コード (原語と英語での名称) をサニタイズしていません。これらは通常事前に 選定されたリスト由来ですが、管理者からの任意の入力も可能です。 この欠陥の影響は、攻撃者が 'administer languages' 特権を持っている必要が あるため、大きくはありません。
ブロックされたユーザのセッションの再生
特定の条件下で、セッションを開いているブロックされたユーザが、ブロックさ れているにもかかわらず drupal サイトでセッションの維持が可能です。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバージ ョン 6.6-3lenny5 で修正されています。
不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 6.16-1 で修正されており、近くテスト版 (testing) ディストリビュー ション (squeeze) にも反映の予定です。
直ぐに drupal6 パッケージをアップグレードすることを勧めます。
- 修正:
-
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。