Debian セキュリティ勧告

DSA-2016-1 drupal6 -- 複数の脆弱性

報告日時:
2010-03-13
影響を受けるパッケージ:
drupal6
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 572439.
詳細:

多機能コンテンツ管理フレームワーク drupal6 に複数の欠陥が発見されました (SA-CORE-2010-001)。

インストール時のクロスサイトスクリプティング攻撃

インストール時、ユーザの提供した値が直接出力されるため、悪意を持ったユ ーザが URL を細工してクロスサイトスクリプティング攻撃を実行可能です。こ の攻撃は未インストールのサイトでのみ実行可能です。

オープンリダイレクション

drupal_goto() API 関数がフィッシング攻撃を許します。このため、攻撃者は Drupal サイトを任意のサイトに転送する攻撃が可能です。但し、ユーザの送っ たデータは転送されません。

ローカルモジュールのクロスサイトスクリプティング

ロカールモジュールとそれに依存する contribute モジュールが表示される言語 コード (原語と英語での名称) をサニタイズしていません。これらは通常事前に 選定されたリスト由来ですが、管理者からの任意の入力も可能です。 この欠陥の影響は、攻撃者が 'administer languages' 特権を持っている必要が あるため、大きくはありません。

ブロックされたユーザのセッションの再生

特定の条件下で、セッションを開いているブロックされたユーザが、ブロックさ れているにもかかわらず drupal サイトでセッションの維持が可能です。

安定版 (stable) ディストリビューション (lenny) では、これらの問題はバージ ョン 6.6-3lenny5 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー ジョン 6.16-1 で修正されており、近くテスト版 (testing) ディストリビュー ション (squeeze) にも反映の予定です。

直ぐに drupal6 パッケージをアップグレードすることを勧めます。

修正:

Debian GNU/Linux 5.0 (lenny)

ソース:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。