Säkerhetsbulletin från Debian

DSA-3075-1 drupal7 -- säkerhetsuppdatering

Rapporterat den:
2014-11-20
Berörda paket:
drupal7
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2014-9015, CVE-2014-9016.
Ytterligare information:

Två sårbarheter upptäcktes i Drupal, ett fullfjädrat innehållshanteringsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

  • CVE-2014-9015

    Aaron Averill upptäckte att en speciellt skapad förfrågan kan ge en användare åtkomst till en annan användares session, vilket tillåter en angripare att kapa en skumpmässig session.

  • CVE-2014-9016

    Michael Cullum, Javier Nieto och Andres Rojas Guerrero upptäckte att lösenordshashnings-APIet tillåter en angripare att skicka speciellt skapade förfrågningar som resulterar i CPU- och minneskonsumption. Detta kan leda till att sajten blir otillgänglig eller icke-responsiv (överbelastning).

Anpassade konfigurationer i session.inc och password.inc behöver även granskas för att verifiera att dom inte är påverkbara av dessa sårbarheter. Mer information kan hittas i uppströmsbulletinen på https://www.drupal.org/SA-CORE-2014-006

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u8.

Vi rekommenderar att ni uppgraderar era drupal7-paket.