Säkerhetsbulletin från Debian

DSA-2828-1 drupal6 -- flera sårbarheter

Rapporterat den:
2013-12-28
Berörda paket:
drupal6
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2013-6385, CVE-2013-6386.
Ytterligare information:

Flera sårbarheter har upptäckts i Drupal, ett fullt utrustat innehållshanteringsramverk: sårbarheter på grund av optimistiskt skydd mot domänöverskridande förfalskning av förfrågningar, osäker generation av pseudoslumptal, kodexekvering och ogiltig validering av säkerhetsbevis.

För att undvika sårbarheten för fjärrexekvering av kod, rekommenderas det att skapa en .htaccess-fil (eller en motsvarande konfigurationsinställning om du inte använder Apache för att driva dina Drupal-webbplatser) i files-mappen för varje webbplats (både publika och privata, om du har bägge konfigurerade).

Vänligen se NEWS-filen som tillhandahålls med denna uppdatering, och uppströmsbulletinen på drupal.org/SA-CORE-2013-003 för mer information.

För den gamla stabila utgåvan (Squeeze) har dessa problem rättats i version 6.29-1.

Vi rekommenderar att ni uppgraderar era drupal6-paket.