Debians sikkerhedsbulletin
DSA-3897-1 drupal7 -- sikkerhedsopdatering
- Rapporteret den:
- 24. jun 2017
- Berørte pakker:
- drupal7
- Sårbar:
- Ja
- Referencer i sikkerhedsdatabaser:
- I Debians fejlsporingssystem: Fejl 865498.
I Mitres CVE-ordbog: CVE-2015-7943, CVE-2017-6922. - Yderligere oplysninger:
-
To sårbarheder blev opdaget i Drupal, et komplet indholdshåndteringssystem. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
- CVE-2015-7943
Samuel Mortenson og Pere Orga opdagede at overlay-modulet ikke på tilstrækkelig vis validerede URL'er før deres indhold blev vist, førende til en åben viderestilling-sårbarhed.
Flere oplysninger finder man i https://www.drupal.org/SA-CORE-2015-004
- CVE-2017-6922
Greg Knaddison, Mori Sugimoto og iancawthorne opdagede at filer uploadet af anonyme brugere til et privat filsystem, kunne tilgås af andre anonyme brugere, førende til adgangsomgåelsessårbarhed.
Flere oplysninger finder man i https://www.drupal.org/SA-CORE-2017-003
I den gamle stabile distribution (jessie), er disse problemer rettet i version 7.32-1+deb8u9.
I den stabile distribution (stretch), er disse problemer rettet i version 7.52-2+deb9u1. I den stabile distribution (stretch), blev CVE-2015-7943 rettet allerede inden udgivelsen.
Vi anbefaler at du opgraderer dine drupal7-pakker.
- CVE-2015-7943