• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3075-1 drupal7 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3075-1 drupal7 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
drupal7 (any)
Описание
В Drupal, полнофункциональной инфраструктуре управления
содержимым, были обнаружены две ошибки. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2014-9015
Аарон Аверил обнаружил, что специально сформированный запрос может дать
    пользователю доступ к сессии другого пользователя, что позволяет злоумышленнику
    похитить случайную сессию.
CVE-2014-9016
Михаэль Куллум, Хавьер Нието и Андрес Рохас Гуерреро обнаружили, что
    API хэширования паролей позволяет злоумышленнику отправлять
    специально сформированные запросы, приводящие к чрезмерному потреблению времени процессора и
    памяти. Это может приводить к тому, что сайт становится недоступным или перестаёт
    отвечать (отказ в обслуживании).

Следует проверить изменённые файлы session.inc и password.inc на
предмет того, подвержены они указанным уязвимостям или нет. Дополнительная
информация может быть найдена в рекомендации из основной ветки разработки по адресу:
https://www.drupal.org/SA-CORE-2014-006https://www.drupal.org/SA-CORE-2014-006">https://www.drupal.org/SA-CORE-2014-006 /> В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 7.14-2+deb7u8.
Рекомендуется обновить пакеты drupal7.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
drupal7 - 7.14-2+deb7u8
Ссылки
http://www.debian.org/security/dsa-3075/

Источник: CVE
Наименование: CVE-2014-9015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9015

Источник: CVE
Наименование: CVE-2014-9016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9016