Информация по безопасности / 2013 / Информация о безопасности -- DSA-2828-1 drupal6

Рекомендация Debian по безопасности

DSA-2828-1 drupal6 -- несколько уязвимостей

Дата сообщения:

28.12.2013

Затронутые пакеты:

drupal6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2013-6385, CVE-2013-6386.

Более подробная информация:

В Drupal, полноценной инфраструктуре по управлению содержимым, были обнаружены многочисленные уязвимости: уязвимости из-за оптимистичной защиты от подделки межсайтовых запросов, небезопасная генерация псевдослучайных чисел, выполнение кода и неправильная проверка токена безопасности.

Для того, чтобы избежать удалённого выполнения кода, рекомендуется создать файл .htaccess (или эквивалентную директиву настройки, если вы не используете Apache для обеспечения работы своих сайтов на Drupal) в каждом каталоге files каждого вашего сайта (и в публичных, и в частных, если у вас имеются обе).

За дальнейшей информацией обратитесь к файлу NEWS, предоставляемому данным обновлением и совету из основной ветки разработки по адресу drupal.org/SA-CORE-2013-003.

В предыдущем стабильном выпуске (squeeze) эти проблемы были исправлены в версии 6.29-1.

Мы рекомендуем вам обновить ваши пакеты drupal6.