Рекомендация Debian по безопасности

DSA-1125-2 drupal -- несколько уязвимостей

Дата сообщения:
27.07.2006
Затронутые пакеты:
drupal
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 368835.
В каталоге Mitre CVE: CVE-2006-2742, CVE-2006-2743, CVE-2006-2831, CVE-2006-2832, CVE-2006-2833.
Более подробная информация:

Обновление Drupal в DSA 1125 содержит регрессию. Данное обновление исправляет эту проблему. Для полноты ниже приводится текст изначальной рекомендации:

В Drupal, платформе веб-сайтов, было обнаружено несколько удалённы уязвимостей, которые могут приводить к выполнению произвольного веб-сценария. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2006-2742

    Была обнаружена SQL-инъекция в переменных "count" и "from" интерфейса баз данных.

  • CVE-2006-2743

    Многочисленные расширения файлов обрабатываются неправильно в случае, если Drupal запущен под Apache с включённым модулем mod_mime.

  • CVE-2006-2831

    Был исправлен вариант CVE-2006-2743.

  • CVE-2006-2832

    Был обнаружен межсайтовый скриптинг в модуле upload.

  • CVE-2006-2833

    Был обнаружен межсайтовый скриптинг в модуле taxonomy.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 4.5.3-6.1sarge2.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.5.8-1.1.

Рекомендуется обновить пакеты drupal.

Исправлено в:

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.