Debians sikkerhedsbulletin

DSA-2847-1 drupal7 -- flere sårbarheder

Rapporteret den:
20. jan 2014
Berørte pakker:
drupal7
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2014-1475, CVE-2014-1476.
Yderligere oplysninger:

Flere sårbarhed er opdaget i Drupal, et komplet framework til indholdshåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2014-1475

    Christian Mainka og Vladislav Mladenov rapporterede om en sårbarhed i OpenID-modulet, som gjorde det muligt for en ondsindet bruger, at logge på som andre brugere af webstedet, herunder administratorer, samt kapre deres konti.

  • CVE-2014-1476

    Matt Vance og Damien Tournoud rapporterede om sårbarhed i forbindelse med omgåelse af adgangsbegrænsinger i taxonomy-modulet. Under visse omstændigheder kunne uudgivet indhold vise sig på listesider, leveret af taxonomy-modulet, og var synlige for brugere, der ikke skulle have haft adgang til at se dem.

Disse rettelser kræver ekstra opdatering af databasen, hvilket kan udføres fra administrationssiderne. Desuden indfører opdateringen et nyt sikkerhedshærdende element til form-API'et. Se opstrømsbulletinen på drupal.org/SA-CORE-2014-001 for flere oplysninger.

I den stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u2.

I distributionen testing (jessie), er disse problemer rettet i version 7.26-1.

I den ustabile distribution (sid), er disse problemer rettet i version 7.26-1.

Vi anbefaler at du opgraderer dine drupal7-pakker.