Рекомендация Debian по безопасности

DSA-2804-1 drupal7 -- несколько уязвимостей

Дата сообщения:
26.11.2013
Затронутые пакеты:
drupal7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2013-6385, CVE-2013-6386, CVE-2013-6387, CVE-2013-6388, CVE-2013-6389.
Более подробная информация:

В Drupal, полнофункциональной инфраструктуре управления содержимым, были обнаружены множественные уязвимости: межсайтовая подделка запросов, небезопасная генерация псевдослучайных чисел, выполнение кода, неправильное подтверждение токена безопасности и межсайтовый скриптинг.

Для того, чтобы избежать уязвимости, проявляющейся в удалённом выполнении кода, рекомендуется создать файл .htaccess (или эквивалентную директиву настройки, если вы не используете Apache для обслуживания ваших сайтов на Drupal) в каталоге files каждого сайта (и публичном, и частном, если вы настроили оба).

Обратитесь к файлу NEWS, включённому в данное обновление, а также к рекомендации из основной ветки разработки по адресу drupal.org/SA-CORE-2013-003, чтобы получить дополнительную информацию.

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.14-2+deb7u1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.24-1.

Мы рекомендуем обновить пакеты drupal7.