Debians sikkerhedsbulletin
DSA-3291-1 drupal7 -- sikkerhedsopdatering
- Rapporteret den:
- 18. jun 2015
- Berørte pakker:
- drupal7
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Mitres CVE-ordbog: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.
- Yderligere oplysninger:
-
Flere sårbarheder blev fundet i drupal7, en platform til indholdhåndtering, som anvendes til at drive websteder.
- CVE-2015-3231
Ukorrekt håndtering af cache, gjorde privat indhold som
user 1
kiggede på, synligt for andre, ikke-priviligerede brugere. - CVE-2015-3232
En fejl i modulet Field UI gjorde det muligt for angribere at viderestille brugere til ondsindede websteder.
- CVE-2015-3233
På grund af utilstrækkelig URL-validering, kunne Overlay modulet anvendes til at viderestille brugere til ondsindede websteder.
- CVE-2015-3234
Modulet OpenID tillod at en angriber kunne logge på som andre brugere, herunder administratorer.
I den gamle stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u10.
I den stabile distribution (jessie), er disse problemer rettet i version 7.32-1+deb8u4.
I den ustabile distribution (sid), er disse problemer rettet i version 7.38.1.
Vi anbefaler at du opgraderer dine drupal7-pakker.
- CVE-2015-3231