Säkerhetsbulletin från Debian

DSA-2016-1 drupal6 -- flera sårbarheter

Rapporterat den:
2010-03-13
Berörda paket:
drupal6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Debians felrapporteringssystem: Fel 572439.
Ytterligare information:

Flera sårbarheter (SA-CORE-2010-001) har upptäckts i drupal6, ett fullfjädrat innehållshanteringsramverk.

Serveröverskridande skriptangrepp vid installering

Ett värde som anges av användaren skrivs ut direkt under installationen, vilket tillåter en illvillig användare att skapa en URL och utföra ett serveröverskridande skriptangrepp. Problem kan bara utnyttjas på platser som inte installerats ännu.

Öppen omdirigering

API-funktionen drupal_goto() är sårbar för ett phishingangrepp. En angripare kan formulera en omdirigering på ett sätt som får Drupal att skicka användaren till en godtycklig URL. Ingen användardata kommer skickas till denna URL.

Serveröverskridande skriptning för lokala moduler

Lokala moduler och beroende moduler städar inte visningen av språkkoder och språknamn (inhemska såväl som engelska) korrekt. Normalt kommer dessa från en förutbestämd lista, men godtycklig administratörsdata är tillåten. Denna sårbarhet begränsas av det faktum att angriparen måste ha en roll med rätt att administrera språk.

Återskapande av session för blockerad användare

Under vissa omständigheter kan en användare med en öppen session som är blockerad underhålla denna session på Drupalplatsen, trots att användaren är blockerad.

För den stabila utgåvan (Lenny) har dessa problem rättats i version 6.6-3lenny5.

För den instabila utgåvan (Sid) har dessa problem rättats i version 6.16-1 och rättelserna kommer migrera till uttestningsutgåvan (Squeeze) inom kort.

Vi rekommenderar att ni uppgraderar ert drupal6-paket.

Rättat i:

Debian GNU/Linux 5.0 (lenny)

Källkod:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Arkitekturoberoende komponent:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5_all.deb

MD5-kontrollsummor för dessa filer finns i originalbulletinen.