Säkerhetsbulletin från Debian
DSA-2016-1 drupal6 -- flera sårbarheter
- Rapporterat den:
- 2010-03-13
- Berörda paket:
- drupal6
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Debians felrapporteringssystem: Fel 572439.
- Ytterligare information:
-
Flera sårbarheter (SA-CORE-2010-001) har upptäckts i drupal6, ett fullfjädrat innehållshanteringsramverk.
Serveröverskridande skriptangrepp vid installering
Ett värde som anges av användaren skrivs ut direkt under installationen, vilket tillåter en illvillig användare att skapa en URL och utföra ett serveröverskridande skriptangrepp. Problem kan bara utnyttjas på platser som inte installerats ännu.
Öppen omdirigering
API-funktionen drupal_goto() är sårbar för ett phishingangrepp. En angripare kan formulera en omdirigering på ett sätt som får Drupal att skicka användaren till en godtycklig URL. Ingen användardata kommer skickas till denna URL.
Serveröverskridande skriptning för lokala moduler
Lokala moduler och beroende moduler städar inte visningen av språkkoder och språknamn (inhemska såväl som engelska) korrekt. Normalt kommer dessa från en förutbestämd lista, men godtycklig administratörsdata är tillåten. Denna sårbarhet begränsas av det faktum att angriparen måste ha en roll med rätt att administrera språk.
Återskapande av session för blockerad användare
Under vissa omständigheter kan en användare med en öppen session som är blockerad underhålla denna session på Drupalplatsen, trots att användaren är blockerad.
För den stabila utgåvan (Lenny) har dessa problem rättats i version 6.6-3lenny5.
För den instabila utgåvan (Sid) har dessa problem rättats i version 6.16-1 och rättelserna kommer migrera till uttestningsutgåvan (Squeeze) inom kort.
Vi rekommenderar att ni uppgraderar ert drupal6-paket.
- Rättat i:
-
Debian GNU/Linux 5.0 (lenny)
- Källkod:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
- Arkitekturoberoende komponent:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5_all.deb
MD5-kontrollsummor för dessa filer finns i originalbulletinen.