Debians sikkerhedsbulletin
DSA-2851-1 drupal6 -- falsk identitiet
- Rapporteret den:
- 2. feb 2014
- Berørte pakker:
- drupal6
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-1475.
- Yderligere oplysninger:
-
Christian Mainka og Vladislav Mladenov rapporterede om en sårbarhed i OpenID-modulet i Drupal, et komplet framework til indholdshåndtering. En ondsindet bruger kunne udnytte fejlen til at logge på som andre brugere af webstedet, herunder administratorer, og kapre deres konti.
Rettelserne kræver ekstra opdatering af databasen, hvilket kan udføres fra administrationssiderne.
I den gamle stabile distribution (squeeze), er dette problem rettet i version 6.30-1.
Vi anbefaler at du opgraderer dine drupal6-pakker.