Рекомендация Debian по безопасности

DSA-1007-1 drupal -- несколько уязвимостей

Дата сообщения:
17.03.2006
Затронутые пакеты:
drupal
Уязвим:
Да
Ссылки на базы данных по безопасности:
В каталоге Mitre CVE: CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.
Более подробная информация:

Команда безопасности Drupal обнаружила несколько уязвимостей в Drupal, полнофункциональном движке для управления содержимым и обсуждениями. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2006-1225

    Из-за отсутствия очистки входных данных удалённый злоумышленник может вводить заголовки в исходящие сообщения электронной почты и использовать Drupal в качестве прокси для рассылки спама.

  • CVE-2006-1226

    Отсутствие проверок чистоты входных данных позволяет злоумышленникам вводить произвольный веб-сценарий или код HTML.

  • CVE-2006-1227

    У пунктов меню, созданных с помощью menu.module, отсутствует контроль доступа, что может позволить удалённым злоумышленникам получить доступ к страницам администратора.

  • CVE-2006-1228

    Маркус Петрукс обнаружил ошибку в фиксации сессии, которая может позволить удалённым злоумышленникам получить привилегии пользователя Drupal.

В предыдущем стабильном выпуске (woody) пакеты Drupal отсутствуют.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 4.5.3-6.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.5.8-1.

Рекомендуется обновить пакет drupal.

Исправлено в:

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.