Рекомендация Debian по безопасности

DSA-2847-1 drupal7 -- несколько уязвимостей

Дата сообщения:
20.01.2014
Затронутые пакеты:
drupal7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2014-1475, CVE-2014-1476.
Более подробная информация:

В Drupal, полноценной инфраструктуре управления содержимым, были обнаружены многочисленные уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2014-1475

    Кристиан Маинка и Владислав Младенов сообщили об уязвимости в модуле OpenID, которая позволяет злоумышленнику входить в систему от лица других пользователей сайта, включая администраторов, и захватывать их учётные записи.

  • CVE-2014-1476

    Мэт Вэнс и Дэмиэн Турну сообщили о возможности обхода проверки доступа в модуле taxonomy. При определённых обстоятельствах неопубликованное содержимое может появиться на страницах с содержанием сайта, создаваемых модулем taxonomy, и оно будет доступно пользователям, которые не имеют прав для просмотра этого содержимого.

Данное исправление требует специальных обновлений баз данных, которые могут быть выполнены с административной страницы. Более того, данное обновление включает в себя новый элемент, улучшающий безопасность API форм. Дополнительную информацию см. в рекомендации из основной ветки разработки по адресу drupal.org/SA-CORE-2014-001 .

В стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.14-2+deb7u2.

В тестируемом выпуске (jessie) эти проблемы были исправлены в версии 7.26-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.26-1.

Рекомендуется обновить пакеты drupal7.