Рекомендация Debian по безопасности
DSA-1125-2 drupal -- несколько уязвимостей
- Дата сообщения:
- 27.07.2006
- Затронутые пакеты:
- drupal
- Уязвим:
- Да
- Ссылки на базы данных по безопасности:
- В системе отслеживания ошибок Debian: Ошибка 368835.
В каталоге Mitre CVE: CVE-2006-2742, CVE-2006-2743, CVE-2006-2831, CVE-2006-2832, CVE-2006-2833. - Более подробная информация:
-
Обновление Drupal в DSA 1125 содержит регрессию. Данное обновление исправляет эту проблему. Для полноты ниже приводится текст изначальной рекомендации:
В Drupal, платформе веб-сайтов, было обнаружено несколько удалённых уязвимостей, которые могут приводить к выполнению произвольного веб-сценария. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:
- CVE-2006-2742
Была обнаружена SQL-инъекция в переменных "count" и "from" интерфейса баз данных.
- CVE-2006-2743
Многочисленные расширения файлов обрабатываются неправильно в случае, если Drupal запущен под Apache с включённым модулем mod_mime.
- CVE-2006-2831
Был исправлен вариант CVE-2006-2743.
- CVE-2006-2832
Был обнаружен межсайтовый скриптинг в модуле upload.
- CVE-2006-2833
Был обнаружен межсайтовый скриптинг в модуле taxonomy.
В стабильном выпуске (sarge) эти проблемы были исправлены в версии 4.5.3-6.1sarge2.
В нестабильном выпуске (sid) эти проблемы были исправлены в версии 4.5.8-1.1.
Рекомендуется обновить пакеты drupal.
- CVE-2006-2742
- Исправлено в:
-
Debian GNU/Linux 3.1 (sarge)
- Исходный код:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
- Независимые от архитектуры компоненты:
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2_all.deb
Контрольные суммы MD5 этих файлов доступны в исходном сообщении.