Cố vấn bảo mật Debian
DSA-3291-1 drupal7 -- cập nhật bảo mật
- Ngày báo cáo:
- 18 Th6 2015
- Gói chịu tác động:
- drupal7
- Có thể bị tấn công:
- Có
- Tham khảo cơ sở dữ liệu bảo mật:
- Trong từ điển CVE của Miter: CVE-2015-3231, CVE-2015-3232, CVE-2015-3233, CVE-2015-3234.
- Thêm thông tin:
-
Nhiều lỗi bảo mật đã được tìm thấy trong drupal7, một nền tảng quản lý nội dung được dùng làm phần động lực cho các trang thông tin điện tử.
- CVE-2015-3231
Việc xử lý bộ đệm không đúng làm cho nội dung riêng được xem bởi
người 1
bị lộ ra với người khác, những người dùng không có đặc quyền. - CVE-2015-3232
Một khiếm khuyết trong mô đun
Field UI
làm cho kẻ tấn công có thể chuyển hướng các người dùng đến địa chỉ hiểm độc. - CVE-2015-3233
Bởi vì thiếu vắng việc phê chuẩn URL, mô đun Overlay có thể được dùng để chuyển hướng các người dùng đến địa chỉ hiểm độc.
- CVE-2015-3234
Mô đun OpenID cho phép kẻ tấn công đăng nhập như là người dùng khác, bao gồm cả các quản trị viên.
Với bản phân phối ổn định cũ (wheezy), những lỗi này được sửa trong phiên bản 7.14-2+deb7u10.
Với bản phân phối ổn định (jessie), những lỗi này được sửa trong phiên bản 7.32-1+deb8u4.
Với bản phân phối chưa ổn định (sid), những lỗi này đã được sửa trong phiên bản 7.38.1.
Chúng tôi khuyên bạn nên nâng cấp các gói drupal7 của mình.
- CVE-2015-3231