Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2804-1 drupal7

Debians sikkerhedsbulletin

DSA-2804-1 drupal7 -- flere sårbarheder

Rapporteret den:

26. nov 2013

Berørte pakker:

drupal7

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-6385, CVE-2013-6386, CVE-2013-6387, CVE-2013-6388, CVE-2013-6389.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Drupal, et komplet system til indholdshåndtering: Udførelse af forespørgsler på tværs af websteder, usikker generering af pseudo-tilfældige tal, udførelse af kode, ukorrekt validering af sikkerhedstoken samt udførelse af scripter på tværs af websteder.

For at undgå sårbarheden vedrørende fjernudførelse af kode, anbefales det at oprette en .htaccess-fil (eller en tilsvarende opsætningsindstilling, i fald man ikke anvender Apache som server til sine Drupal-websteder) i hvert af ens websteders files-mapper (både offentlige og private, i fald man har opsat begge slags).

Se NEWS-filen som følger med denne opdatering samt opstrømsbulletinen på drupal.org/SA-CORE-2013-003 for flere oplysninger.

I den stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u1.

I den ustabile distribution (sid), er disse problemer rettet i version 7.24-1.

Vi anbefaler at du opgraderer dine drupal7-pakker.