Debians sikkerhedsbulletin

DSA-3291-1 drupal7 -- sikkerhedsopdatering

Rapporteret den:
18. jun 2015
Berørte pakker:
drupal7
Sårbar:
Ja
Referencer i sikkerhedsdatabaser:
I Mitres CVE-ordbog: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.
Yderligere oplysninger:

Flere sårbarheder blev fundet i drupal7, en platform til indholdhåndtering, som anvendes til at drive websteder.

  • CVE-2015-3231

    Ukorrekt håndtering af cache, gjorde privat indhold som user 1 kiggede på, synligt for andre, ikke-priviligerede brugere.

  • CVE-2015-3232

    En fejl i modulet Field UI gjorde det muligt for angribere at viderestille brugere til ondsindede websteder.

  • CVE-2015-3233

    På grund af utilstrækkelig URL-validering, kunne Overlay modulet anvendes til at viderestille brugere til ondsindede websteder.

  • CVE-2015-3234

    Modulet OpenID tillod at en angriber kunne logge på som andre brugere, herunder administratorer.

I den gamle stabile distribution (wheezy), er disse problemer rettet i version 7.14-2+deb7u10.

I den stabile distribution (jessie), er disse problemer rettet i version 7.32-1+deb8u4.

I den ustabile distribution (sid), er disse problemer rettet i version 7.38.1.

Vi anbefaler at du opgraderer dine drupal7-pakker.