Aviso de seguridad de Debian
DSA-1125-2 drupal -- varias vulnerabilidades
- Fecha del informe:
- 27 de jul de 2006
- Paquetes afectados:
- drupal
- Vulnerable:
- Sí
- Referencias a bases de datos de seguridad:
- En el sistema de seguimiento de errores de Debian: error 368835.
En el diccionario CVE de Mitre: CVE-2006-2742, CVE-2006-2743, CVE-2006-2831, CVE-2006-2832, CVE-2006-2833. - Información adicional:
-
La actualización para Drupal del DSA 1125 contenía una regresión. Esta actualización corrige esa debilidad. Para una mejor percepción del problema en su conjunto, se reproduce a continuación el texto del aviso original:
Se han descubierto varias vulnerabilidades remotas Drupal, la plataforma para sitios web, que podían llevar a la ejecución de guiones web arbitrarios. El proyecto Common Vulnerabilities and Exposures identifica los siguientes problemas:
- CVE-2006-2742
Se ha descubierto una vulnerabilidad de inyección de SQL en las variables de la interfaz con la base de datos «count» y «from».
- CVE-2006-2743
Varias extensiones de archivos se gestionaban de forma incorrecta si Drupal funcionaba sobre Apache con mod_mime activado.
- CVE-2006-2831
También se ha solucionado una variante de CVE-2006-2743.
- CVE-2006-2832
Se ha descubierto una vulnerabilidad de guiones a través del sitio en el módulo upload.
- CVE-2006-2833
Se ha descubierto una vulnerabilidad de guiones a través del sitio en el módulo taxonomy.
Para la distribución estable (sarge), estos problemas se han corregido en la versión 4.5.3-6.1sarge2.
Para la distribución estable (sid), estos problemas se han corregido en la versión 4.5.8-1.1.
Le recomendamos que actualice el paquete drupal.
- CVE-2006-2742
- Arreglado en:
-
Debian GNU/Linux 3.1 (sarge)
- Fuentes:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
- Componentes independientes de la arquitectura:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2_all.deb
Las sumas MD5 de los ficheros que se listan están disponibles en el aviso original.