Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3291-1 drupal7

Cố vấn bảo mật Debian

DSA-3291-1 drupal7 -- cập nhật bảo mật

Ngày báo cáo:

18 Th6 2015

Gói chịu tác động:

drupal7

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong từ điển CVE của Miter: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.

Thêm thông tin:

Nhiều lỗi bảo mật đã được tìm thấy trong drupal7, một nền tảng quản lý nội dung được dùng làm phần động lực cho các trang thông tin điện tử.

• CVE-2015-3231

  Việc xử lý bộ đệm không đúng làm cho nội dung riêng được xem bởi người 1 bị lộ ra với người khác, những người dùng không có đặc quyền.

• CVE-2015-3232

  Một khiếm khuyết trong mô đun Field UI làm cho kẻ tấn công có thể chuyển hướng các người dùng đến địa chỉ hiểm độc.

• CVE-2015-3233

  Bởi vì thiếu vắng việc phê chuẩn URL, mô đun Overlay có thể được dùng để chuyển hướng các người dùng đến địa chỉ hiểm độc.

• CVE-2015-3234

  Mô đun OpenID cho phép kẻ tấn công đăng nhập như là người dùng khác, bao gồm cả các quản trị viên.

Với bản phân phối ổn định cũ (wheezy), những lỗi này được sửa trong phiên bản 7.14-2+deb7u10.

Với bản phân phối ổn định (jessie), những lỗi này được sửa trong phiên bản 7.32-1+deb8u4.

Với bản phân phối chưa ổn định (sid), những lỗi này đã được sửa trong phiên bản 7.38.1.

Chúng tôi khuyên bạn nên nâng cấp các gói drupal7 của mình.