Debian セキュリティ勧告

DSA-2847-1 drupal7 -- 複数の脆弱性

報告日時:
2014-01-20
影響を受けるパッケージ:
drupal7
危険性:
あり
参考セキュリティデータベース:
Mitre の CVE 辞書: CVE-2014-1475, CVE-2014-1476.
詳細:

複数の脆弱性が Drupal、多機能コンテント管理基盤に発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

  • CVE-2014-1475

    Christian Mainka さんと Vladislav Mladenov さんが、管理者を含めた サイト上の他のユーザでのログインやアカウント乗っ取りを悪意のあるユーザに許す OpenID モジュールの脆弱性を報告しています。

  • CVE-2014-1476

    Matt Vance さんと Damien Tournoud さんが taxonomy モジュールにアクセス迂回の脆弱性があることを報告しています。 特定の状況下で公開していない内容が taxonomy モジュールにより提供される一覧ページに表示され、 権限のないはずのユーザに見えるようになります。

今回の修正ではデータベースに対する更新が追加で必要となり、 管理ページから行うことができます。さらにこの更新では API に新しいセキュリティ強化策が導入されています。詳細な情報については drupal.org/SA-CORE-2014-001 にある上流の勧告を参照してください。

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 7.14-2+deb7u2 で修正されています。

テスト版 (testing) ディストリビューション (jessie) では、この問題はバージョン 7.26-1 で修正されています。

不安定版 (unstable) ディストリビューション (sid) では、この問題はバージョン 7.26-1 で修正されています。

直ちに drupal7 パッケージをアップグレードすることを勧めます。