Säkerhetsinformation / 2015 / Säkerhetsinformation -- DSA-3346-1 drupal7

Säkerhetsbulletin från Debian

DSA-3346-1 drupal7 -- säkerhetsuppdatering

Rapporterat den:

2015-08-31

Berörda paket:

drupal7

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Mitres CVE-förteckning: CVE-2015-6658, CVE-2015-6659, CVE-2015-6660, CVE-2015-6661, CVE-2015-6665.

Ytterligare information:

Flera sårbarheter har upptäckts i Drupal, ett innehållshanteringsramverk:

• CVE-2015-6658

  Automatkompletteringsfunktionaliteten rengjorde inte den efterfrågade URLen ordentligt, vilket tillät fjärrangripare att utföra ett sajtöverskridande skriptangrepp.

• CVE-2015-6659

  Filtreringssytemet för SQL-kommentarer kunde tillåta en användare med utökade rättigheter att injicera illasinnad kod i SQL-kommentarer.

• CVE-2015-6660

  Formulär-APIet utförde inte token-validering tidigt nog, vilket tillät filuppladdningsanrop att köras med opålitlig indata. Detta kunde tillåta fjärrangripare att ladda upp filer till sajten under en annan användares användarkonto.

• CVE-2015-6661

  Användare utan innehållsåtkomst-rättigheter kunde se titlar i noder som de inte har åtkomst till, om noderna var tillagda till en meny på sajten som användarna har åtkomst till.

• CVE-2015-6665

  Fjärrangripare kunde utföra ett sajtöverskridande skriptangrepp genom att anropa Drupal.ajax() på ett vitlistat HTML-element.

För den gamla stabila utgåvan (Wheezy) har dessa problem rättats i version 7.14-2+deb7u11.

För den stabila utgåvan (Jessie) har dessa problem rättats i version 7.32-1+deb8u5.

För uttestningsutgåvan (Stretch) har dessa problem rättats i version 7.39-1.

För den instabila utgåvan (Sid) har dessa problem rättats i version 7.39-1.

Vi rekommenderar att ni uppgraderar era drupal7-paket.