Debians sikkerhedsbulletin
DSA-2804-1 drupal7 -- flere sårbarheder
- Rapporteret den:
- 26. nov 2013
- Berørte pakker:
- drupal7
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-6385, CVE-2013-6386, CVE-2013-6387, CVE-2013-6388, CVE-2013-6389.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Drupal, et komplet system til indholdshåndtering: Udførelse af forespørgsler på tværs af websteder, usikker generering af pseudo-tilfældige tal, udførelse af kode, ukorrekt validering af sikkerhedstoken samt udførelse af scripter på tværs af websteder.
For at undgå sårbarheden vedrørende fjernudførelse af kode, anbefales det at oprette en .htaccess-fil (eller en tilsvarende opsætningsindstilling, i fald man ikke anvender Apache som server til sine Drupal-websteder) i hvert af ens websteders
files
-mapper (både offentlige og private, i fald man har opsat begge slags).Se NEWS-filen som følger med denne opdatering samt opstrømsbulletinen på drupal.org/SA-CORE-2013-003 for flere oplysninger.
I den stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u1.
I den ustabile distribution (sid), er disse problemer rettet i version 7.24-1.
Vi anbefaler at du opgraderer dine drupal7-pakker.