Sikkerhedsoplysninger / 2013 / Sikkerhedsoplysninger -- DSA-2828-1 drupal6

Debians sikkerhedsbulletin

DSA-2828-1 drupal6 -- flere sårbarheder

Rapporteret den:

28. dec 2013

Berørte pakker:

drupal6

Sårbar:

Ja

Referencer i sikkerhedsdatabaser:

I Mitres CVE-ordbog: CVE-2013-6385, CVE-2013-6386.

Yderligere oplysninger:

Flere sårbarheder er opdaget i Drupal, et komplet framework til indholdshåndtering: sårbarheder på grund af optimisktisk beskyttelse mod forespørgsler på tværs af websteder, usikker generering af pseudo-tilfældige tal, udførelse af kode samt ukorrekt validering af sikkerhedstoken.

For at undgå den fjernudnytbare kodeudførselssårbarhed, anbefales det at oprette en .htaccess-fil (eller tilsvarende hvis Apache ikke anvendes til at servere dine Drupal-websteder) i hvert af dine websteders files-mapper (både offentlige og og private, i tilfælde af at begge er opsat).

Se NEWS-filen, der følger med opdateringen samt opstrøms bulletin på drupal.org/SA-CORE-2013-003 for yderligere oplysninger.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 6.29-1.

Vi anbefaler at du opgraderer dine drupal6-pakker.