Рекомендация Debian по безопасности

DSA-1930-1 drupal6 -- несколько уязвимостей

Дата сообщения:
07.11.2009
Затронутые пакеты:
drupal6
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 535435, Ошибка 547140.
В каталоге Mitre CVE: CVE-2009-2372, CVE-2009-2373, CVE-2009-2374.
Более подробная информация:

В drupal6, полнофункциональной инфраструктуре управления содержимым, было обнаружено несколько уязвимостей. Проек Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2009-2372

    Герхард Киллесрайтер обнаружил уязвимость в коде обработки пользовательских подписей. Пользователь может ввести произвольный код с помощью специально сформированной пользовательской подписи. (SA-CORE-2009-007)

  • CVE-2009-2373

    Марк Пайпер, Свен Херрман и Брэндон Найт обнаружили межсайтовый скриптинг в модуле forum, который может использоваться с помощью параметра tid. (SA-CORE-2009-007)

  • CVE-2009-2374

    Сумит Датта обнаружил, что на определённых страницах drupal6 происходит утечка чувствительной информации, такой как данные учётной записи пользователя. (SA-CORE-2009-007)

Было исправлено несколько ошибок разработки в модуле OpenID, которые могут приводить к подделкам межсайтовых запросов или повышению привилегий. Кроме того, функция загрузки файла неправильно обрабатывает некоторые расширения, что приводит к возможному выполнению произвольного кода. (SA-CORE-2009-008)

В предыдущем стабильном выпуске (etch) пакет drupal6 отсутствует.

В стабильном выпуске (lenny) эти проблемы были исправлены в версии 6.6-3lenny3.

В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 6.14-1.

Рекомендуется обновить пакеты drupal6.

Исправлено в:

Debian GNU/Linux 5.0 (lenny)

Исходный код:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Независимые от архитектуры компоненты:
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb

Контрольные суммы MD5 этих файлов доступны в исходном сообщении.