Рекомендация Debian по безопасности
DSA-2113-1 drupal6 -- несколько уязвимостей
- Дата сообщения:
- 20.09.2010
- Затронутые пакеты:
- drupal6
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 592716.
В каталоге Mitre CVE: CVE-2010-3091, CVE-2010-3092, CVE-2010-3093, CVE-2010-3094. - Более подробная информация:
-
В Drupal 6, полнофункциональной инфраструктуре управления содержимым, было обнаружено несколько уязвимостей. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2010-3091
В модуле OpenID было обнаружено несколько проблем, позволяющих злоумышленникам получать доступ к учётным записям пользователей.
- CVE-2010-3092
Модуль загрузки содержит потенциальный обход ограничений доступа из-за того, что в нём не проводится проверка регистра букв.
- CVE-2010-3093
Модуль комментирования содержит проблему, связанную с повышением привилегий, которая позволяет определённым пользователям обходить ограничения.
- CVE-2010-3094
В возможности Action было обнаружено несколько случаев межсайтового скриптинга (XSS).
В стабильном выпуске (lenny) эти проблемы были исправлены в версии 6.6-3lenny6.
В тестируемом (squeeze) и нестабильном (sid) выпусках эти проблемы были исправлены в версии 6.18-1.
Рекомендуется обновить пакеты drupal6.
- CVE-2010-3091
- Исправлено в:
-
Debian GNU/Linux 5.0 (lenny)
- Исходный код:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny6_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.