Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
drupal7
(any)
Описание
В Drupal, полнофункциональной инфраструктуре управления
содержимым, были обнаружены множественные уязвимости: межсайтовая подделка запросов, небезопасная
генерация псевдослучайных чисел, выполнение кода, неправильное подтверждение токена
безопасности и межсайтовый скриптинг.
Для того, чтобы избежать уязвимости, проявляющейся в удалённом выполнении кода, рекомендуется
создать файл .htaccess (или эквивалентную директиву
настройки, если вы не используете Apache для обслуживания ваших сайтов на Drupal)
в каталоге files каждого сайта (и публичном, и частном, если
вы настроили оба).
Обратитесь к файлу NEWS, включённому в данное обновление, а также к рекомендации
из основной ветки разработки по адресу drupal.org/SA-CORE-2013-003, чтобы получить дополнительную информацию.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 7.14-2+deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 7.24-1.
Мы рекомендуем обновить пакеты drupal7.
содержимым, были обнаружены множественные уязвимости: межсайтовая подделка запросов, небезопасная
генерация псевдослучайных чисел, выполнение кода, неправильное подтверждение токена
безопасности и межсайтовый скриптинг.
Для того, чтобы избежать уязвимости, проявляющейся в удалённом выполнении кода, рекомендуется
создать файл .htaccess (или эквивалентную директиву
настройки, если вы не используете Apache для обслуживания ваших сайтов на Drupal)
в каталоге files каждого сайта (и публичном, и частном, если
вы настроили оба).
Обратитесь к файлу NEWS, включённому в данное обновление, а также к рекомендации
из основной ветки разработки по адресу drupal.org/SA-CORE-2013-003, чтобы получить дополнительную информацию.
В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 7.14-2+deb7u1.
В нестабильном выпуске (sid) эти проблемы были исправлены в
версии 7.24-1.
Мы рекомендуем обновить пакеты drupal7.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
drupal7 - 7.14-2+deb7u1
Debian GNU/Linux 7:
noarch:
drupal7 - 7.14-2+deb7u1
Ссылки
http://www.debian.org/security/dsa-2804/
Источник: CVE
Наименование: CVE-2013-6385
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6385
Источник: CVE
Наименование: CVE-2013-6386
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6386
Источник: CVE
Наименование: CVE-2013-6387
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6387
Источник: CVE
Наименование: CVE-2013-6388
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6388
Источник: CVE
Наименование: CVE-2013-6389
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6389
Источник: CVE
Наименование: CVE-2013-6385
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6385
Источник: CVE
Наименование: CVE-2013-6386
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6386
Источник: CVE
Наименование: CVE-2013-6387
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6387
Источник: CVE
Наименование: CVE-2013-6388
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6388
Источник: CVE
Наименование: CVE-2013-6389
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2013-6389