Debians sikkerhedsbulletin

DSA-2828-1 drupal6 -- flere sårbarheder

Rapporteret den:
28. dec 2013
Berørte pakker:
drupal6
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2013-6385, CVE-2013-6386.
Yderligere oplysninger:

Flere sårbarheder er opdaget i Drupal, et komplet framework til indholdshåndtering: sårbarheder på grund af optimisktisk beskyttelse mod forespørgsler på tværs af websteder, usikker generering af pseudo-tilfældige tal, udførelse af kode samt ukorrekt validering af sikkerhedstoken.

For at undgå den fjernudnytbare kodeudførselssårbarhed, anbefales det at oprette en .htaccess-fil (eller tilsvarende hvis Apache ikke anvendes til at servere dine Drupal-websteder) i hvert af dine websteders files-mapper (både offentlige og og private, i tilfælde af at begge er opsat).

Se NEWS-filen, der følger med opdateringen samt opstrøms bulletin på drupal.org/SA-CORE-2013-003 for yderligere oplysninger.

I den gamle stabile distribution (squeeze), er disse problemer rettet i version 6.29-1.

Vi anbefaler at du opgraderer dine drupal6-pakker.