Информация по безопасности / 2014 / Информация о безопасности -- DSA-2914-1 drupal6

Рекомендация Debian по безопасности

DSA-2914-1 drupal6 -- обновление безопасности

Дата сообщения:

25.04.2014

Затронутые пакеты:

drupal6

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2014-2983.

Более подробная информация:

В Drupal, полнофункциональной инфраструктуре для управления содержимым, была обнаружена уязвимость, заключающаяся в раскрытии информации. При кэшировании страниц для анонимных пользователей состояние формы может быть раскрыто другим анонимным пользователям. Чувствительная или частная информация, записанная одним анонимным пользователем, может, таким образом, быть раскрыта другим пользователям, взаимодействующим с той же самой формой в то же самое время.

Данное обновление безопасности включает в себя небольшое изменение API, для дополнительной информации см. рекомендацию из основной ветки разработки по адресу drupal.org/SA-CORE-2014-002.

В предыдущем стабильном выпуске (squeeze) эта проблема была исправлена в версии 6.31-1.

Рекомендуется обновить пакеты drupal6.