Säkerhetsbulletin från Debian

DSA-3346-1 drupal7 -- säkerhetsuppdatering

Rapporterat den:
2015-08-31
Berörda paket:
drupal7
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-6658, CVE-2015-6659, CVE-2015-6660, CVE-2015-6661, CVE-2015-6665.
Ytterligare information:

Flera sårbarheter har upptäckts i Drupal, ett innehållshanteringsramverk:

  • CVE-2015-6658

    Automatkompletteringsfunktionaliteten rengjorde inte den efterfrågade URLen ordentligt, vilket tillät fjärrangripare att utföra ett sajtöverskridande skriptangrepp.

  • CVE-2015-6659

    Filtreringssytemet för SQL-kommentarer kunde tillåta en användare med utökade rättigheter att injicera illasinnad kod i SQL-kommentarer.

  • CVE-2015-6660

    Formulär-APIet utförde inte token-validering tidigt nog, vilket tillät filuppladdningsanrop att köras med opålitlig indata. Detta kunde tillåta fjärrangripare att ladda upp filer till sajten under en annan användares användarkonto.

  • CVE-2015-6661

    Användare utan innehållsåtkomst-rättigheter kunde se titlar i noder som dom inte har åtkomst till, om noderna var tillagda till en meny på sajten som användarna har åtkomst till.

  • CVE-2015-6665

    Fjärrangripare kunde utföra ett sajtöverskridande skriptangrepp genom att anropa Drupal.ajax() på ett vitlistat HTML-element.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u11.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.32-1+deb8u5.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 7.39-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.39-1.

Vi rekommenderar att ni uppgraderar era drupal7-paket.