Debians sikkerhedsbulletin
DSA-1007-1 drupal -- flere sårbarheder
- Rapporteret den:
- 17. mar 2006
- Berørte pakker:
- drupal
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.
- Yderligere oplysninger:
-
Drupal Security Team har opdaget flere sårbarheder i Drupal, et komplet system til indholdshåndtering og diskussionsstyring. Projektet Common Vulnerabilities and Exposures har fundet frem til følgende problemer:
- CVE-2006-1225
På grund af manglende kontrol af inddata, kunne en fjernangriber indsprøjte headere fra udgående e-mail og bruge Drupal som en spam-proxy.
- CVE-2006-1226
Manglende inddatakontroller tillod angribere at indspøjte vilkårlige webskripter eller HTML.
- CVE-2006-1227
Menupunkter oprettet med menu.module manglende adgangskontrol, hvilket kunne gøre det muligt for fjernangribere at få adgang til administrative sider.
- CVE-2006-1228
Markus Petrux har opdaget en fejl i session fixation'en, hvilket kunne gøre det muligt for fjernangribere at opnå brugerrettigheder i Drupal.
Den gamle stabile distribution (woody) indeholder ikke Drupal-pakker.
I den stabile distribution (sarge) er disse problemer rettet i version 4.5.3-6.
I den ustabile distribution (sid) er disse problemer rettet i version 4.5.8-1.
Vi anbefaler at du opgraderer din drupal-pakke.
- CVE-2006-1225
- Rettet i:
-
Debian GNU/Linux 3.1 (sarge)
- Kildekode:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.