Рекомендация Debian по безопасности
DSA-1930-1 drupal6 -- несколько уязвимостей
- Дата сообщения:
- 07.11.2009
- Затронутые пакеты:
- drupal6
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 535435, Ошибка 547140.
В каталоге Mitre CVE: CVE-2009-2372, CVE-2009-2373, CVE-2009-2374. - Более подробная информация:
-
В drupal6, полнофункциональной инфраструктуре управления содержимым, было обнаружено несколько уязвимостей. Проек Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2009-2372
Герхард Киллесрайтер обнаружил уязвимость в коде обработки пользовательских подписей. Пользователь может ввести произвольный код с помощью специально сформированной пользовательской подписи. (SA-CORE-2009-007)
- CVE-2009-2373
Марк Пайпер, Свен Херрман и Брэндон Найт обнаружили межсайтовый скриптинг в модуле forum, который может использоваться с помощью параметра tid. (SA-CORE-2009-007)
- CVE-2009-2374
Сумит Датта обнаружил, что на определённых страницах drupal6 происходит утечка чувствительной информации, такой как данные учётной записи пользователя. (SA-CORE-2009-007)
Было исправлено несколько ошибок разработки в модуле OpenID, которые могут приводить к подделкам межсайтовых запросов или повышению привилегий. Кроме того, функция загрузки файла неправильно обрабатывает некоторые расширения, что приводит к возможному выполнению произвольного кода. (SA-CORE-2009-008)
В предыдущем стабильном выпуске (etch) пакет drupal6 отсутствует.
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 6.6-3lenny3.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 6.14-1.
Рекомендуется обновить пакеты drupal6.
- CVE-2009-2372
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.