Debians sikkerhedsbulletin
DSA-3075-1 drupal7 -- sikkerhedsopdatering
- Rapporteret den:
- 20. nov 2014
- Berørte pakker:
- drupal7
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2014-9015, CVE-2014-9016.
- Yderligere oplysninger:
-
To sårbarheder blev opdaget i Drupal, en komplet framework til indholdshåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2014-9015
Aaron Averill opdagede at en særligt fremstillet forespørgsel kunne give en bruger adgang til en anden brugers session, hvilket gjorde det muligt for en angriber at kapre en tilfældig session.
- CVE-2014-9016
Michael Cullum, Javier Nieto og Andres Rojas Guerrero opdagede at API'et til adgangskodehasing, gjorde det muligt for en angriber at sende særligt fremstillede forespørgsler, medførende CPU- og hukommelsesudmattelse. Det kunne ende med, at webstedet blev utilgængeligt eller ikke svarede (lammelsesangreb, denial of service).
Tilpassede opsætning i session.inc og password.inc skal desuden gennemses, for at konstatere hvorvidt de er ramt af de nævnte sårbarheder. Flere oplysninger finder man i opstrøms bulletin på https://www.drupal.org/SA-CORE-2014-006
I den stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u8.
Vi anbefaler at du opgraderer dine drupal7-pakker.
- CVE-2014-9015