Debian-Sicherheitsankündigung

DSA-1147-1 drupal -- Fehlende Eingabebereinigung

Datum des Berichts:
09. Aug 2006
Betroffene Pakete:
drupal
Verwundbar:
Ja
Sicherheitsdatenbanken-Referenzen:
In Mitres CVE-Verzeichnis: CVE-2006-4002.
Weitere Informationen:

Ayman Hourieh entdeckte, dass Drupal, eine dynamische Website-Plattform, die Eingabe im Benutzermodul unzureichend bereinigt, was zu Site-übergreifenden Skripting-Angriffen führen kann.

Für die Stable-Distribution (Sarge) wurde dieses Problem in Version 4.5.3-6.1sarge3 behoben.

Für die Unstable-Distribution (Sid) wurde dieses Problem in Version 4.5.8-2 behoben.

Wir empfehlen Ihnen, Ihr drupal-Paket zu aktualisieren.

Behoben in:

Debian GNU/Linux 3.1 (sarge)

Quellcode:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge3.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge3.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Architektur-unabhängige Dateien:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge3_all.deb

MD5-Prüfsummen der aufgeführten Dateien stehen in der ursprünglichen Sicherheitsankündigung zur Verfügung.