Säkerhetsbulletin från Debian
DSA-3075-1 drupal7 -- säkerhetsuppdatering
- Rapporterat den:
- 2014-11-20
- Berörda paket:
- drupal7
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2014-9015, CVE-2014-9016.
- Ytterligare information:
-
Två sårbarheter upptäcktes i Drupal, ett fullfjädrat innehållshanteringsramverk. Projektet Common Vulnerabilities and Exposures identifierar följande problem:
- CVE-2014-9015
Aaron Averill upptäckte att en speciellt skapad förfrågan kan ge en användare åtkomst till en annan användares session, vilket tillåter en angripare att kapa en skumpmässig session.
- CVE-2014-9016
Michael Cullum, Javier Nieto och Andres Rojas Guerrero upptäckte att lösenordshashnings-APIet tillåter en angripare att skicka speciellt skapade förfrågningar som resulterar i CPU- och minneskonsumption. Detta kan leda till att sajten blir otillgänglig eller icke-responsiv (överbelastning).
Anpassade konfigurationer i session.inc och password.inc behöver även granskas för att verifiera att de inte är påverkbara av dessa sårbarheter. Mer information kan hittas i uppströmsbulletinen på https://www.drupal.org/SA-CORE-2014-006
För den stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u8.
Vi rekommenderar att ni uppgraderar era drupal7-paket.
- CVE-2014-9015