Debians sikkerhedsbulletin
DSA-1930-1 drupal6 -- flere sårbarheder
- Rapporteret den:
- 7. nov 2009
- Berørte pakker:
- drupal6
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 535435, Fejl 547140.
I Mitres CVE-ordbog: CVE-2009-2372, CVE-2009-2373, CVE-2009-2374. - Yderligere oplysninger:
-
Flere sårbarheder er opdaget i drupal6, et komplet framework til indholdshåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2009-2372
Gerhard Killesreiter opdagede en fejl i de måde, brugersignaturer blev håndteret på. Det var muligt for en bruger, at indsprøjte vilkårlig kode gennem en fabrikeret brugersignatur. (SA-CORE-2009-007)
- CVE-2009-2373
Mark Piper, Sven Herrmann og Brandon Knight opdagede i forummodulet en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, hvilket kunne udnyttes gennem tid-parameteret. (SA-CORE-2009-007)
- CVE-2009-2374
Sumit Datta opdagede at visse drupal6-sider lækkede følsomme oplysninger så som brugeroplysninger. (SA-CORE-2009-007)
Flere designfejl i OpenID-modulet er rettet, hvilke kunne have ført til forespørgselsforfalskninger på tværs af websteder eller rettighedsforøgelse. Desuden behandlede filoplægningsfunktionen ikke alle udvidelser på korrekt vis, hvilket muligvis kunne føre til udførelse af vilkårlig kode. (SA-CORE-2009-008)
Den gamle stabile distribution (etch) indeholder ikke drupal6.
I den stabile distribution (lenny), er disse problemer rettet i version 6.6-3lenny3.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 6.14-1.
Vi anbefaler at du opgraderer dine drupal6-pakker.
- CVE-2009-2372
- Rettet i:
-
Debian GNU/Linux 5.0 (lenny)
- Kildekode:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- Arkitekturuafhængig komponent:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.