Aviso de seguridad de Debian

DSA-1007-1 drupal -- varias vulnerabilidades

Fecha del informe:

17 de mar de 2006

Paquetes afectados:

drupal

Vulnerable:

Sí

Referencias a bases de datos de seguridad:

En el diccionario CVE de Mitre: CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.

Información adicional:

El equipo de seguridad de Drupal descubrió varias vulnerabilidades en Drupal, un motor de gestión de contenido y de debate repleto de características. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:

CVE-2006-1225
Debido a una entrada no saneada, un atacante remoto podía inyectar encabezados a los mensajes de correo saliente y utilizar Drupal como proxy para enviar spam.
CVE-2006-1226
Al no comprobarse la infensividad de la entrada, se permitía inyectar guiones web o HTML arbitrario.
CVE-2006-1227
Las entradas de menú creadas con menu.module carecían de control de acceso, lo que podía permitir que los atacantes remotos accediesen a las páginas de administración.
CVE-2006-1228
Markus Petrux descubrió un error en el establecimiento de la sesión, que podía permitir que los atacantes remotos obtuviesen privilegios de usuarios en Drupal.

La distribución estable anterior (woody) no contiene los paquetes de Drupal.

Para la distribución estable (sarge), estos problemas se han corregido en la versión 4.5.3-6.

Para la distribución inestable (sid), estos problemas se han corregido en la versión 4.5.8-1.

Le recomendamos que actualice el paquete drupal.

Arreglado en:

Debian GNU/Linux 3.1 (sarge)

Fuentes:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz; http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Componentes independientes de la arquitectura:: http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb

Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.