Säkerhetsinformation / 2013 / Säkerhetsinformation -- DSA-2804-1 drupal7

Säkerhetsbulletin från Debian

DSA-2804-1 drupal7 -- flera sårbarheter

Rapporterat den:

2013-11-26

Berörda paket:

drupal7

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2013-6385, CVE-2013-6386, CVE-2013-6387, CVE-2013-6388, CVE-2013-6389.

Ytterligare information:

Flera sårbarheter har upptäckts i Drupal, ett fullfjädrat innehållshanteringsramverk: Förfalskning av förfrågningar över flera sajter, osäker generering av pseudo-slumptal, kodkörning, felaktig validering av säkerhetsbevis och domänöverskridande skriptangrepp.

För att undvika sårbarheten för kodkörning rekommenderas det att skapa en .htaccess-fil (eller ett motsvarande konfigurationsdirektiv om du inte använder dig av apache för att tillhandahålla dina Drupal-sidor) i varje av dina sajters files-mappar (både publika och privata, om du har båda konfigurerade).

Vänligen se filen NEWS som tillhandahålls med denna uppdatering och uppströmsbulletinen på drupal.org/SA-CORE-2013-003 för mer information.

För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.24-1.

Vi rekommenderar att ni uppgraderar era drupal7-paket.