Debians sikkerhedsbulletin

DSA-3346-1 drupal7 -- sikkerhedsopdatering

Rapporteret den:

31. aug 2015

Berørte pakker:

drupal7

Sårbar:

Referencer i sikkerhedsdatabaser:

Yderligere oplysninger:

Flere sårbarheder blev opdaget i Drupal, et framework til indholdshåndtering:

CVE-2015-6658
Funktionaliteten til autofuldførelse af formularer, fornuftighedskontrollerede ikke på korrekt vis den forespurgte URL, hvilket gjorde det muligt for fjernangribere at iværksætte et angreb i forbindelse med udførelse af skripter på tværs af websteder.
CVE-2015-6659
Systemet til SQL-kommentarfiltreringen kunne gøre det muligt for en bruger med forøgede rettigheder, at indsprøjte ondsindet kode i SQL-kommentarer.
CVE-2015-6660
Formular-API'et udførte ikke formulartokenvalidering tidligt nok, hvilket gjorde det muligt for filuploadcallback'ene at blive kørt med inddata, der ikke er tillid til. Dermed kunne fjernangribere uploade filer til webstedet gennem en anden bruges konto.
CVE-2015-6661
Brugere uden rettigheden access content kunne se titlerne på noder, som de ikke har adgang til, hvis noderne blev føjet til menuen på webstedet, som brugerne har adgang til.
CVE-2015-6665
Fjernangribere kunne iværksætte et angreb i forbindelse med udførelse af skripter på tværs af websteder ved at kalde Drupal.ajax() på et hvidlistet HTML-element.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u11.

I den stabile distribution (jessie), er disse problemer rettet i version 7.32-1+deb8u5.

I distributionen testing (stretch), er disse problemer rettet i version 7.39-1.

I den ustabile distribution (sid), er disse problemer rettet i version 7.39-1.

Vi anbefaler at du opgraderer dine drupal7-pakker.