- Beratende ID: Drupal-SA-2010-001-CORE
- Projekt: Drupal Core
- Version: 5.x, 6.x
- Date: 2010-März-2003
- Sicherheitsrisiko: Kritische
- Ausnutzbar aus: Remote
- Sicherheitslücke: Mehrere Schwachstellen
Beschreibung
Mehrere Schwachstellen und Mängel wurden in Drupal entdeckt.
Installation Cross Site Scripting
Eine vom Benutzer bereitgestellte Wert wird direkt bei der Installation erlauben ein böswilliger Benutzer eine URL und Durchführen einer Cross-Site-Scripting-Angriff Handwerk. Der Exploit kann nur auf Seiten noch nicht installiert durchgeführt werden.
Dieses Problem betrifft nur Drupal 6.x.
Open-Umleitung
Die API-Funktion drupal_goto () ist anfällig für eine Phishing-Attacke. Könnte ein Angreifer machte in einer Weise, die Drupal-Website für den Benutzer zu einer beliebig Vorausgesetzt URL senden bekommt umzuleiten. Kein Benutzer übermittelten Daten zu dieser URL gesendet werden.
Dieses Problem betrifft Drupal 5.x und 6.x
Lokale Modul Cross-Site Scripting
Lokale abhängig Zusätzliche Module und Modul nicht desinfizieren die Anzeige von Sprachcodes und Inglese Muttersprache Namen richtig. Während diese in der Regel ab einer vorgewählten Liste ist beliebig Administrator Eingang erlaubt. Diese Sicherheitsanfälligkeit wird durch die Tatsache gemildert, dass der Angreifer eine Rolle mit der "Verwalten Sprachen Erlaubnis haben muss.
Dieses Problem betrifft Drupal 5.x und 6.x
Gesperrte User Session Regeneration
Unter bestimmten Umständen ist ein Benutzer mit einer offenen Session blockiert Das kann sein / ihr Tagung über die Drupal-Website, Despi blockiert Pflegen.
Dieses Problem betrifft Drupal 5.x und 6.x
Versionen betroffen
- Drupal 6.x vor Version 6.16.
- Drupal 5.x vor Version 5.22.
Solution
Installieren Sie die neueste Version:
- Wenn Sie 6.x laufen Drupal Upgrade Drupal 6,16 .
- Wenn Sie 5.x laufen Drupal Upgrade Drupal 5,22 .
Drupal 5 wird nicht mehr gepflegt werden Bei Drupal 7 freigegeben wird . Upgrade auf Drupal 6 wird empfohlen.
Wenn Sie nicht sofort aktualisieren möchten, können Sie einen Patch an, um die Installation zu sichern, bis Sie in der Lage, um eine ordnungsgemäße Upgrade zu tun. Diese Patches beheben Sicherheitslücken, enthalten jedoch keine weitere Updates veröffentlicht, in dem Waren Drupal 6.16 oder 5.22.
- Um Patch Drupal 6,15 Nutzung SA-CORE-2010-001-6.15.patch .
- Um Patch Drupal 5,21 Nutzung SA-CORE-2010-001-5.21.patch .
Berichtet von
Die Installation "Cross Site Scripting Problem wurde durch Berichtet David Rothstein (*).
Die Konsolenumleitung wurde berichtet, von Martin Barbella .
Die lokalen Modul Cross-Site Scripting wurde berichtet von Justin Klein Keane .
Die gesperrten User Session Regeneration Problem gemeldet wurde von Craig A. Hancock .
(*) Mitglied der Drupal Security Team.
Behoben durch
Die Installation "Cross Site Scripting Problem wurde durch feste Heine Deelstra .
Die Konsolenumleitung War durch feste Gerhard Killesreiter und Heine Deelstra .
Die lokalen Modul Cross-Site Scripting War durch feste Stéphane Corlosquet , Peter Wolanin , Heine Deelstra und Neil Drumm .
Die gesperrten User Session Regeneration Problem wurde durch feste Gerhard Killesreiter .
Wurden alle Updates von den Mitgliedern des Drupal Security-Team durchgeführt.
Kontakt
Das Sicherheits-Team für Drupal können Form erreicht, an Sicherheit bei drupal.org oder über die http://drupal.org/contact .