• Adviserende ID: Drupal-SA-2010-001-CORE
  • Project: Drupal core
  • Versie: 5.x, 6.x
  • Datum: 2010-maart-2003
  • Gevaar voor de veiligheid: Kritische
  • Exploiteerbaarheid van: Remote
  • Kwetsbaarheid: Meerdere kwetsbaarheden

Beschrijving

Meerdere kwetsbaarheden en zwakke punten werden ontdekt in Drupal.

Installatie cross site scripting

Een gebruiker geleverde waarde uitgang direct Tijdens de installatie toestaan van een kwaadwillende gebruiker naar een URL en voer een cross-site scripting-aanval ambacht. De exploit kan alleen worden uitgevoerd op sites nog niet geïnstalleerd.

Dit probleem doet zich Drupal 6.x alleen.

Open omleiding

De API-functie drupal_goto () gevoelig is voor een phishing-aanval. Kan een aanvaller maakte een redirect op een manier die de Drupal site aan de gebruiker om een willekeurig opgegeven URL te verzenden krijgt. De gebruiker mag geen gegevens verstrekt zal worden verzonden naar die URL.

Dit probleem doet zich Drupal 5.x en 6.x

Lokale module cross-site scripting

Lokale afhankelijke bijgedragen modules en module niet sanitize goed op het display van de taal-codes, en Inglese moedertaal namen. Hoewel deze Meestal als uit een voorgeselecteerde lijst is arbitrair beheerder input toegestaan. Dit beveiligingslek is verzacht door het feit dat de aanvaller een rol moet met de ‘Beheren talen’ toestemming hebben.

Dit probleem doet zich Drupal 5.x en 6.x

Geblokkeerde gebruiker sessie regeneratie

Onder bepaalde omstandigheden is een gebruiker met een open sessie geblokkeerd Dat kan zijn / haar sessie op de Drupal site, Despi geblokkeerd te handhaven.

Dit probleem doet zich Drupal 5.x en 6.x

getroffen versies

  • Drupal 6.x voor versie 6.16.
  • Drupal 5.x voor versie 5.22.

Oplossing

Installeer de laatste versie:

  • Als u werkt met Drupal 6.x vervolgens een upgrade naar Drupal 6,16 .
  • Als u werkt met Drupal 5.x vervolgens een upgrade naar Drupal 5,22 .

Drupal 5 zal niet langer worden gehandhaafd als Drupal 7 wordt vrijgegeven . Upgraden naar Drupal 6 wordt aanbevolen.

Als je niet onmiddellijk upgraden, kunt u een patch om uw installatie veilig zijn totdat je in staat bent om een goede upgrade te doen. Deze patches vaststellen van de beveiligingsproblemen, maar niet bevatten andere fixes vrijgegeven Welke waren Drupal Drupal 6.16 of 5.22.

Gemeld door

De installatie cross site scripting-probleem werd gemeld door David Rothstein (*).
De console redirection werd gerapporteerd door Martin Barbella .
De lokale module cross-site scripting werd gerapporteerd door Justin Klein Keane .
De geblokkeerde gebruiker sessie regeneratie kwestie werd gerapporteerd door Craig A. Hancock .

(*) Lid van de Drupal security team.

Vastgesteld door

De installatie cross site scripting-probleem werd vastgesteld bij Heine Deelstra .
De console redirection werd vastgesteld door Gerhard Killesreiter en Heine Deelstra .
De lokale module cross-site scripting is vastgesteld door Stephane Corlosquet , Peter Wolanin , Heine Deelstra en Neil Drumm .
De geblokkeerde gebruiker sessie regeneratie probleem is verholpen door Gerhard Killesreiter .

Waren alle fixes gedaan door leden van de Drupal security team.

Contact

Het security-team voor Drupal kan worden bereikt op de veiligheid op drupal.org of via het formulier op http://drupal.org/contact .