Debian セキュリティ勧告
DSA-1930-1 drupal6 -- 複数の脆弱性
- 報告日時:
- 2009-11-07
- 影響を受けるパッケージ:
- drupal6
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 535435, バグ 547140.
Mitre の CVE 辞書: CVE-2009-2372, CVE-2009-2373, CVE-2009-2374. - 詳細:
-
一通りの機能を持つコンテンツマネージメントフレームワーク drupal6 に複数 の欠陥が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2009-2372
Gerhard Killesreiter さんにより、ユーザ署名を扱う処理に欠陥が発見されま した。細工したユーザ署名により、ユーザから任意のコードを挿入可能です (SA-CORE-2009-007)。
- CVE-2009-2373
Mark Piper, Sven Herrmann および Brandon Knight の各氏により、tid パラ メータを使ったクロスサイトスクリプティング攻撃を許す問題が発見されまし た (SA-CORE-2009-007)。
- CVE-2009-2374
Sumit Datta さんにより、一部の drupal6 のページがユーザクレデンシャルな どの機密情報をリークすることが発見されました (SA-CORE-2009-00
クロスサイトリクエストフォージェリ攻撃や特権の昇格に繋がる可能性のある OpenID モジュールの複数の設計上の欠陥も修正されています。また、ファイル アップロード関数が全拡張子を適切に扱っていなかったため、任意のコードの 実行の可能性が合った問題も修正されています (SA-CORE-2009-008)。
旧安定版 (etch) には drupal6 パッケージは収録されていません。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 6.6-3lenny3 で修正されています。
テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 6.14-1 で修正されています。
直ぐに drupal6 パッケージをアップグレードすることを勧めます。
- CVE-2009-2372
- 修正:
-
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。