Aviso de seguridad de Debian
DSA-840-1 drupal -- entrada no saneada
- Fecha del informe:
- 4 de oct de 2005
- Paquetes afectados:
- drupal
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el diccionario CVE de Mitre: CVE-2005-2498.
- Información adicional:
-
Stefan Esser, del proyecto Hardened-PHP, informó de una vulnerabilidad grave en la biblioteca XML-RPC de terceras partes que se incluía con algunas versiones de Drupal. Un atacante podía ejecutar código PHP arbitrario en una sede objetivo. Esta actualización recupera la versión más reciente de XML-RPC.
La distribución estable anterior (woody) no se ve afectada por este problema porque no incluye drupal.
Para la distribución estable (sarge) este problema se ha corregido en la versión 4.5.3-4.
Para la distribución inestable (sid) este problema se ha corregido en la versión 4.5.5-1.
Le recomendamos que actualice el paquete drupal.
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-4_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.