Säkerhetsbulletin från Debian
DSA-3291-1 drupal7 -- säkerhetsuppdatering
- Rapporterat den:
- 2015-06-18
- Berörda paket:
- drupal7
- Sårbara:
- Ja
- Referenser i säkerhetsdatabaser:
- I Mitres CVE-förteckning: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.
- Ytterligare information:
-
Flera sårbarheter har upptäckts i drupal7, en innehållshanteringsplattform som används för att driva webbplatser.
- CVE-2015-3231
Felaktig cachehantering gjorde privat innehåll som visades för
user 1
synligt för andra användare som inte hade rättigheter att se det. - CVE-2015-3232
En brist i Field UI-modulen gjorde det möjligt för angripare att omdirigera användare till illasinnade sajter.
- CVE-2015-3233
På grund av otillräcklig URL-validering, kunde Overlay-modulen används för att omdirigera användare till illasinnade sajter.
- CVE-2015-3234
OpenID-modulen tillät en angripare att logga in som andra användare, inklusive administratörer.
För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u10.
För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.32-1+deb8u4.
För den instabila utgåvan (Sid) har dessa problem rättats i version 7.38.1.
Vi rekommenderar att ni uppgraderar era drupal7-paket.
- CVE-2015-3231