Säkerhetsinformation / 2017 / Säkerhetsinformation -- DSA-3897-1 drupal7

Säkerhetsbulletin från Debian

DSA-3897-1 drupal7 -- säkerhetsuppdatering

Rapporterat den:

2017-06-24

Berörda paket:

drupal7

Sårbara:

Ja

Referenser i säkerhetsdatabaser:

I Debians felrapporteringssystem: Fel 865498.
I Mitres CVE-förteckning: CVE-2015-7943, CVE-2017-6922.

Ytterligare information:

Två sårbarheter upptäcktes i Drupal, ett fullt utrustat innehållshanteringssystem. Projektet Common Vulnerabilities and Exposures identifierar följande problem:

• CVE-2015-7943

  Samuel Mortenson och Pere Orga upptäckte att overlaymodulen inte validerar URLer tillräckligt innan den visar dess innehåll, vilket leder till en open redirect-sårbarhet.

  Mer information kan hittas på https://www.drupal.org/SA-CORE-2015-004

• CVE-2017-6922

  Greg Knaddison, Mori Sugimoto och iancawthorne upptäckte att filer som uppladdats av anonyma användare till ett privat filsystem är tillgängliga för andra anonyma användare vilket leder till åtkomstförbigånggsårbarhet.

  Mer information kan hittas på https://www.drupal.org/SA-CORE-2017-003

För den gamla stabila utgåvan (Jessie) har dessa problem rättats i version 7.32-1+deb8u9.

För den stabila utgåvan (Stretch) har dessa problem rättats i version 7.52-2+deb9u1. För den stabila utgåvan (Stretch), var redan CVE-2015-7943 rättad före den ursprungliga utgåvan.

Vi rekommenderar att ni uppgraderar era drupal7-paket.