Debians sikkerhedsbulletin
DSA-2828-1 drupal6 -- flere sårbarheder
- Rapporteret den:
- 28. dec 2013
- Berørte pakker:
- drupal6
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2013-6385, CVE-2013-6386.
- Yderligere oplysninger:
-
Flere sårbarheder er opdaget i Drupal, et komplet framework til indholdshåndtering: sårbarheder på grund af optimisktisk beskyttelse mod forespørgsler på tværs af websteder, usikker generering af pseudo-tilfældige tal, udførelse af kode samt ukorrekt validering af sikkerhedstoken.
For at undgå den fjernudnytbare kodeudførselssårbarhed, anbefales det at oprette en .htaccess-fil (eller tilsvarende hvis Apache ikke anvendes til at servere dine Drupal-websteder) i hvert af dine websteders
files
-mapper (både offentlige og og private, i tilfælde af at begge er opsat).Se NEWS-filen, der følger med opdateringen samt opstrøms bulletin på drupal.org/SA-CORE-2013-003 for yderligere oplysninger.
I den gamle stabile distribution (squeeze), er disse problemer rettet i version 6.29-1.
Vi anbefaler at du opgraderer dine drupal6-pakker.