Рекомендация Debian по безопасности

DSA-2016-1 drupal6 -- несколько уязвимостей

Дата сообщения:
13.03.2010
Затронутые пакеты:
drupal6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 572439.
Более подробная информация:

В drupal6, полнофункциональной инфраструктуре управления содержимым, было обнаружено несколько уязвимостей (SA-CORE-2010-001).

Межсайтовый скриптинг во время установки

Передаваемое пользователем значение выводится в ходе установки напрямую, позволяя злоумышленнику подделать URL и выполнить атаку по принципу межсайтового скриптинга. Эта уязвимость может использоваться только на пока не установленных сайтах.

Открытое перенаправление

Предполагается, что функция API drupal_goto() подвержена фишингу. Злоумышленник может создать перенаправление на сайте Drupal, отправляющее пользователя на произвольный URL. По URL злоумышленника пользовательские данные не отправляютс.

Межсайтовый скриптинг в модуле Locale

Модуль Locale и зависимые модули других разработчиков не выполняют очистку отображаемых кодов языков, хотя родной язык и английский отображаются корректно. Хотя отображение обычно берётся из предварительно выбранного списка, могут использоваться и произвольные входные данные, переданные администратором. Эта уязвимость не настолько опасна благодаря тому, что злоумышленник должен выполнять роль с правами 'administer languages'.

Повторное создание заблокированной пользовательской сессии

При определённых обстоятельствах пользователь с открытой сессией, которая была заблокирована, может сохранить свою сессию на сайте Drupal, несмотря на блокировку.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 6.6-3lenny5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 6.16-1, указанная версия в скором времени будет перемещена в тестируемый выпуск (squeeze).

Рекомендуется обновить пакет drupal6.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.