セキュリティ情報 / 2014 / セキュリティ情報 -- DSA-3075-1 drupal7

Debian セキュリティ勧告

DSA-3075-1 drupal7 -- セキュリティ更新

報告日時:

2014-11-20

影響を受けるパッケージ:

drupal7

危険性:

あり

参考セキュリティデータベース:

Mitre の CVE 辞書: CVE-2014-9015, CVE-2014-9016.

詳細:

多機能コンテント管理基盤 Drupal に脆弱性が2件見つかっています。The Common Vulnerabilities and Exposures project は以下の問題を認識しています:

• CVE-2014-9015

  Aaron Averill さんが、特別に細工したリクエストによって ユーザが別ユーザのセッションにアクセスできることを発見しています。 攻撃者に無作為のセッション乗っ取りを許します。

• CVE-2014-9016

  Michael Cullum さんと Javier Nieto、Andres Rojas Guerrero さんが、パスワードハッシュ API がサービス拒否を許す可能性を発見しています。 攻撃者が特別に細工したリクエストを送ることでCPUとメモリを使い果たし、 サイトを利用不可能あるいは反応させなくできる可能性があります。

独自に設定した session.inc 及び password.inc についても同様に監査し、上記の脆弱性につながるものか検証する必要があります。 さらなる情報が上流の勧告にあります: https://www.drupal.org/SA-CORE-2014-006

安定版 (stable) ディストリビューション (wheezy) では、この問題はバージョン 7.14-2+deb7u8 で修正されています。

直ちに drupal7 パッケージをアップグレードすることを勧めます。