Рекомендация Debian по безопасности

DSA-958-1 drupal -- несколько уязвимостей

Дата сообщения:
27.01.2006
Затронутые пакеты:
drupal
Уязвим:
Да
Ссылки на базы данных по безопасности:
В базе данных Bugtraq (на SecurityFocus): Идентификатор BugTraq 15674, Идентификатор BugTraq 15677, Идентификатор BugTraq 15663.
В каталоге Mitre CVE: CVE-2005-3973, CVE-2005-3974, CVE-2005-3975.
Более подробная информация:

В drupal, полнофункциональном движке управления содержимым, было обнаружено несколько связанных с безопасностью проблем. Проект Common Vulnerabilities and Exposures определяет следующие уязвимости:

  • CVE-2005-3973

    Несколько случаев межсайтового скриптинга позволяют удалённым злоумышленникам вводить веб-сценарий или код HTML.

  • CVE-2005-3974

    При работе на PHP5 Drupal неправильно выставляет права доступа пользователей, что позволяет удалённым злоумышленникам обходить права "access user profiles".

  • CVE-2005-3975

    Конфликт интерпретаций позволяет удалённым аутентифицированным пользователям вводить произвольный веб-сценарий или код HTML с помощью HTML в файле с расширением GIF или JPEG.

В предыдущем стабильном выпуске (woody) пакеты drupal отсутствуют.

В стабильном выпуске (sarge) эти проблемы были исправлены в версии 4.5.3-5.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.5.6-1.

Рекомендуется обновить пакет drupal.

Исправлено в:

Debian GNU/Linux 3.1 (sarge)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.