Рекомендация Debian по безопасности

DSA-3897-1 drupal7 -- обновление безопасности

Дата сообщения:
24.06.2017
Затронутые пакеты:
drupal7
Уязвим:
Да
Ссылки на базы данных по безопасности:
В системе отслеживания ошибок Debian: Ошибка 865498.
В каталоге Mitre CVE: CVE-2015-7943, CVE-2017-6922.
Более подробная информация:

В Drupal, полнофункциональной инфраструктуре управления содержимым, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

  • CVE-2015-7943

    Самуэль Мортенсон и Пере Орга обнаружили, что модуль overlay выполняет недостаточную проверку URL перед отображением и содержимого, что приводит к уязвимостям при открытых перенаправлениях.

    Дополнительную информацию можно найти по адресу https://www.drupal.org/SA-CORE-2015-004

  • CVE-2017-6922

    Грег Кнаддисон, Мори Сугимото и iancawthorne обнаружили, что к файлам, загруженным анонимными пользователями в приватную файловую систему, могут получать доступ другие анонимные пользователи, что приводит к обходу ограничений доступа.

    Дополнительную информацию можно найти по адресу https://www.drupal.org/SA-CORE-2017-003

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.32-1+deb8u9.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52-2+deb9u1. В стабильном выпуске (stretch) уязвимость CVE-2015-7943 была исправлена ещё до выпуска.

Рекомендуется обновить пакеты drupal7.