Информация по безопасности / 2015 / Информация о безопасности -- DSA-3291-1 drupal7

Рекомендация Debian по безопасности

DSA-3291-1 drupal7 -- обновление безопасности

Дата сообщения:

18.06.2015

Затронутые пакеты:

drupal7

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.

Более подробная информация:

В drupal7, платформе управления содержимым, используемой для создания и обеспечения работы веб-сайтов, было обнаружено несколько уязвимостей.

• CVE-2015-3231

  В результате некорректной обработки кэша частный контент становится видимым для пользователя user 1 и открытым для других непривилегированных пользователей.

• CVE-2015-3232

  Уязвимость в модуле Field UI позволяет злоумышленникам перенаправлять пользователей на опасные сайты.

• CVE-2015-3233

  Из-за недостаточной проверки URL модуль Overlay может использоваться для перенаправления пользователей на опасные сайты.

• CVE-2015-3234

  Модуль OpenID позволяет злоумышленнику осуществлять вход от лица других пользователей, включая администраторов.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.14-2+deb7u10.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.32-1+deb8u4.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.38.1.

Рекомендуется обновить пакеты drupal7.