Информация по безопасности / 2015 / Информация о безопасности -- DSA-3346-1 drupal7

Рекомендация Debian по безопасности

DSA-3346-1 drupal7 -- обновление безопасности

Дата сообщения:

31.08.2015

Затронутые пакеты:

drupal7

Уязвим:

Да

Ссылки на базы данных по безопасности:

В каталоге Mitre CVE: CVE-2015-6658, CVE-2015-6659, CVE-2015-6660, CVE-2015-6661, CVE-2015-6665.

Более подробная информация:

В Drupal, инфраструктуре управления содержимым, было обнаружено несколько уязвимостей:

• CVE-2015-6658

  Функциональность автоматического заполнения форм неправильно очищает запрошенный URL, позволяя удалённым злоумышленникам выполнять атаки по принципу межсайтового скриптинга.

• CVE-2015-6659

  Система фильтрации комментариев SQL может позволить пользователю с повышенными привилегиями вводить вредоносный код в комментарии SQL.

• CVE-2015-6660

  API форм не выполняет вовремя проверку токена формы, что позволяет функциям обратного вызова для загрузки файлов запускаться с недоверенным вводом. Эта уязвимость позволяет удалённым злоумышленникам загружать файлы на сайт с помощью учётной записи другого пользователя.

• CVE-2015-6661

  Пользователи, не имеющие права на доступ к содержимому, могут видеть заголовки нод, к которым они не имеют доступа, в случае, если ноды были добавлены в меню на сайте, к которому эти пользователи имеют доступ.

• CVE-2015-6665

  Удалённые злоумышленники могут выполнять атаки по принципу межсайтового скриптинга путём вызова функции Drupal.ajax() с HTML-элементом из белого списка в качестве аргумента.

В предыдущем стабильном выпуске (wheezy) эти проблемы были исправлены в версии 7.14-2+deb7u11.

В стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.32-1+deb8u5.

В тестируемом выпуске (stretch) эти проблемы были исправлены в версии 7.39-1.

В нестабильном выпуске (sid) эти проблемы были исправлены в версии 7.39-1.

Рекомендуется обновить пакеты drupal7.