Рекомендация Debian по безопасности
DSA-2828-1 drupal6 -- несколько уязвимостей
- Дата сообщения:
- 28.12.2013
- Затронутые пакеты:
- drupal6
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В каталоге Mitre CVE: CVE-2013-6385, CVE-2013-6386.
- Более подробная информация:
-
В Drupal, полноценной инфраструктуре по управлению содержимым, были обнаружены многочисленные уязвимости: уязвимости из-за оптимистичной защиты от подделки межсайтовых запросов, небезопасная генерация псевдослучайных чисел, выполнение кода и неправильная проверка токена безопасности.
Для того, чтобы избежать удалённого выполнения кода, рекомендуется создать файл .htaccess (или эквивалентную директиву настройки, если вы не используете Apache для обеспечения работы своих сайтов на Drupal) в каждом каталоге
files
каждого вашего сайта (и в публичных, и в частных, если у вас имеются обе).За дальнейшей информацией обратитесь к файлу NEWS, предоставляемому данным обновлением и совету из основной ветки разработки по адресу drupal.org/SA-CORE-2013-003.
В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 6.29-1.
Мы рекомендуем вам обновить ваши пакеты drupal6.