Säkerhetsbulletin från Debian

DSA-2847-1 drupal7 -- flera sårbarheter

Rapporterat den:
2014-01-20
Berörda paket:
drupal7
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-1475, CVE-2014-1476.
Ytterligare information:

Flera sårbarheter har upptäckts i Drupal, ett fullfjädrat innehållshanteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-1475

    Christian Mainka och Vladislav Mladenov rapporterade en sårbarhet i OpenID-modulen som tillåter en illasinnad användare att logga in som andra användare på siten, inklusive administratörer, och kapa deras konton.

  • CVE-2014-1476

    Matt Vance och Damien Tournoud rapporterade en sårbarhet för åtkomstförbigång i klassificeringsmodulen. Under vissa omständigheter kan opublicerat material presenteras på listsidor som tillhandahålls av klassificeringsmodulen och kommer att vara synligt för användare som annars inte hade haft rättigheter att se det.

Dessa rättningar kräver flera uppdateringar till databasen som kan göras från administrationssidorna. Utöver detta introducerar denna uppdatering nya säkerhetshärdningselement för formulär-APIet. Vänligen referera till uppströmsbulletinen på drupal.org/SA-CORE-2014-001 för mer information.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u2.

För uttestningsutgåvan (Jessie) har dessa problem rättats i version 7.26-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.26-1.

Vi rekommenderar att ni uppgraderar era drupal7-paket.