Thông tin về bảo mật / 2015 / Thông tin bảo mật -- DSA-3346-1 drupal7

Cố vấn bảo mật Debian

DSA-3346-1 drupal7 -- cập nhật bảo mật

Ngày báo cáo:

31 Th8 2015

Gói chịu tác động:

drupal7

Có thể bị tấn công:

Có

Tham khảo cơ sở dữ liệu bảo mật:

Trong từ điển CVE của Miter: CVE-2015-6658, CVE-2015-6659, CVE-2015-6660, CVE-2015-6661, CVE-2015-6665.

Thêm thông tin:

Nhiều lỗ hổng bảo mật được tìm thấy trong Drupal, một khung quản lý nội dung:

• CVE-2015-6658

  Chức năng tự hoàn thiện mẫu đơn đã không làm vệ sinh URL được yêu cầu, cho phép kẻ tấn công trên mạng thực hiện tấn công chèn mã độc.

• CVE-2015-6659

  Hệ thống lọc ghi chú SQL có thể cho phép người dùng đặc quyền nâng cao thực hiện chèn mã độc vào trong phần ghi chú SQL.

• CVE-2015-6660

  API mẫu đơn không thực hiện thẩm tra thẻ mẫu đơn đủ sớm, cho phép hàm gọi ngược tải tập tin lên chạy với đầu vào không đáng tin. Lỗi này có thể cho phép kẻ tấn công trên mạng tải các tập tin lên trang dưới tài khoản của người dùng khác.

• CVE-2015-6661

  Những người dùng không có quyền truy cập nội dung có thể xem tiêu đề của các nút mà họ không có quyền truy cập vào đó, nếu các nút được thêm vào một trình đơn của trang mà những người dùng phải truy cập vào.

• CVE-2015-6665

  Kẻ tấn công trên mạng có thể thực hiện tấn công chèn mã độc bằng cách gọi Drupal.ajax() trên một phần tử HTML nằm trong danh-sách-trắng.

Với bản phân phối ổn định cũ (wheezy), những lỗi này đã được sửa trong phiên bản 7.14-2+deb7u11.

Với bản phân phối ổn định (jessie), những lỗi này đã được sửa trong phiên bản 7.32-1+deb8u5.

Với bản phân phối thử nghiệm (stretch), những lỗi này được sửa trong phiên bản 7.39-1.

Với bản phân phối chưa ổn định (sid), những lỗi này đã được sửa trong phiên bản 7.39-1.

Chúng tôi khuyên bạn nên nâng cấp các gói drupal7 của mình.