Debian セキュリティ勧告
DSA-2113-1 drupal6 -- 複数の脆弱性
- 報告日時:
- 2010-09-20
- 影響を受けるパッケージ:
- drupal6
- 危険性:
- あり
- 参考セキュリティデータベース:
- Debian バグ追跡システム: バグ 592716.
Mitre の CVE 辞書: CVE-2010-3091, CVE-2010-3092, CVE-2010-3093, CVE-2010-3094. - 詳細:
-
一通りの機能を提供するコンテンツマネージメントフレームワーク Drupal 6 に、 複数の問題が発見されました。The Common Vulnerabilities and Exposures project は以下の問題を認識しています。
- CVE-2010-3091
ユーザアカウントへの不正なアクセスを許す複数の問題が OpenID モジュールに 発見されました。
- CVE-2010-3092
upload モジュールで大文字と小文字に関するチェックを行っていないため、ア クセス制限を迂回できる可能性があります。
- CVE-2010-3093
comment モジュールに、特定のユーザから制限を迂回して特権の昇格を許す欠 陥があります。
- CVE-2010-3094
Action 機能に複数のクロスサイトスクリプティング攻撃を揺する欠陥が発見さ れました。
安定版 (stable) ディストリビューション (lenny) では、これらの問題はバー ジョン 6.6-3lenny6 で修正されています。
テスト版 (squeeze) および不安定版 (unstable) ディストリビューションでは、 これらの問題はバージョン 6.18-1 で修正されています。
直ぐに drupal6 パッケージをアップグレードすることを勧めます。
- CVE-2010-3091
- 修正:
-
Debian GNU/Linux 5.0 (lenny)
- ソース:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6.diff.gz
- アーキテクチャ非依存コンポーネント:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6_all.deb
一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。