Информация по безопасности / 2017 / Информация о безопасности -- DSA-3897-1 drupal7

Рекомендация Debian по безопасности

DSA-3897-1 drupal7 -- обновление безопасности

Дата сообщения:

24.06.2017

Затронутые пакеты:

drupal7

Уязвим:

Да

Ссылки на базы данных по безопасности:

В системе отслеживания ошибок Debian: Ошибка 865498.
В каталоге Mitre CVE: CVE-2015-7943, CVE-2017-6922.

Более подробная информация:

В Drupal, полнофункциональной инфраструктуре управления содержимым, были обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures определяет следующие проблемы:

• CVE-2015-7943

  Самуэль Мортенсон и Пере Орга обнаружили, что модуль overlay выполняет недостаточную проверку URL перед отображением их содержимого, что приводит к уязвимостям при открытых перенаправлениях.

  Дополнительную информацию можно найти по адресу https://www.drupal.org/SA-CORE-2015-004

• CVE-2017-6922

  Грег Кнаддисон, Мори Сугимото и iancawthorne обнаружили, что к файлам, загруженным анонимными пользователями в приватную файловую систему, могут получать доступ другие анонимные пользователи, что приводит к обходу ограничений доступа.

  Дополнительную информацию можно найти по адресу https://www.drupal.org/SA-CORE-2017-003

В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены в версии 7.32-1+deb8u9.

В стабильном выпуске (stretch) эти проблемы были исправлены в версии 7.52-2+deb9u1. В стабильном выпуске (stretch) уязвимость CVE-2015-7943 была исправлена ещё до выпуска.

Рекомендуется обновить пакеты drupal7.