Рекомендация Debian по безопасности

DSA-1792-1 drupal6 -- многочисленные уязвимости

Дата сообщения:
06.05.2009
Затронутые пакеты:
drupal6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 526378.
В каталоге Mitre CVE: CVE-2009-1575, CVE-2009-1576.
Более подробная информация:

В drupal, системе управления веб-содержимым, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-1575

    pod.Edge обнаружил межсайтовый скриптинг, который может проявляться в случае, когда некоторые браузеры интерпретируют строки в кодировке UTF-8 как строки в кодировке UTF-7, если они появляются до определения Content-Type в порождённом HTML-документе. Эта уязвимость позволяет злоумышленнику выполнять произвольный код на языке Javascript в контексте веб-сайта, если он имеет права на публикацию содержимого.

  • CVE-2009-1576

    Мориц Науман обнаружил раскрытие информации. Если пользователь посещает сайт через специально сформированный адрес URL и отправляет данные формы (такой как форма поиска) с этой страницы, то информация в их форме может перенаправляться третьей стороне, определяемой URL, а потому и раскрываться этой третьей стороне. Сайт третьей стороны может затем выполнить подделку межсайтового запроса для переданной формы.

В предыдущем стабильном выпуске (etch) пакет drupal отсутствует, поэтому данный выпуск не подвержен указанным уязвимостям.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 6.6-3lenny1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 6.11-1

Рекомендуется обновить пакет drupal6.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.diff.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.