Debians sikkerhedsbulletin

DSA-1930-1 drupal6 -- flere sårbarheder

Rapporteret den:
7. nov 2009
Berørte pakker:
drupal6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Debians fejlsporingssystem: Fejl 535435, Fejl 547140.
I Mitres CVE-ordbog: CVE-2009-2372, CVE-2009-2373, CVE-2009-2374.
Yderligere oplysninger:

Flere sårbarheder er opdaget i drupal6, et komplet framework til indholdshåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:

  • CVE-2009-2372

    Gerhard Killesreiter opdagede en fejl i de måde, brugersignaturer blev håndteret på. Det var muligt for en bruger, at indsprøjte vilkårlig kode gennem en fabrikeret brugersignatur. (SA-CORE-2009-007)

  • CVE-2009-2373

    Mark Piper, Sven Herrmann og Brandon Knight opdagede i forummodulet en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, hvilket kunne udnyttes gennem tid-parameteret. (SA-CORE-2009-007)

  • CVE-2009-2374

    Sumit Datta opdagede at visse drupal6-sider lækkede følsomme oplysninger så som brugeroplysninger. (SA-CORE-2009-007)

Flere designfejl i OpenID-modulet er rettet, hvilke kunne have ført til forespørgselsforfalskninger på tværs af websteder eller rettighedsforøgelse. Desuden behandlede filoplægningsfunktionen ikke alle udvidelser på korrekt vis, hvilket muligvis kunne føre til udførelse af vilkårlig kode. (SA-CORE-2009-008)

Den gamle stabile distribution (etch) indeholder ikke drupal6.

I den stabile distribution (lenny), er disse problemer rettet i version 6.6-3lenny3.

I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 6.14-1.

Vi anbefaler at du opgraderer dine drupal6-pakker.

Rettet i:

Debian GNU/Linux 5.0 (lenny)

Kildekode:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Arkitekturuafhængig komponent:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb

MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.