Säkerhetsbulletin från Debian

DSA-3291-1 drupal7 -- säkerhetsuppdatering

Rapporterat den:
2015-06-18
Berörda paket:
drupal7
Sårbara:
Ja
Referenser i säkerhetsdatabaser:
I Mitres CVE-förteckning: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.
Ytterligare information:

Flera sårbarheter har upptäckts i drupal7, en innehållshanteringsplattform som används för att driva webbplatser.

  • CVE-2015-3231

    Felaktig cachehantering gjorde privat innehåll som visades för user 1 synligt för andra användare som inte hade rättigheter att se det.

  • CVE-2015-3232

    En brist i Field UI-modulen gjorde det möjligt för angripare att omdirigera användare till illasinnade sajter.

  • CVE-2015-3233

    På grund av otillräcklig URL-validering, kunde Overlay-modulen används för att omdirigera användare till illasinnade sajter.

  • CVE-2015-3234

    OpenID-modulen tillät en angripare att logga in som andra användare, inklusive administratörer.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u10.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.32-1+deb8u4.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.38.1.

Vi rekommenderar att ni uppgraderar era drupal7-paket.