Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
(AV:N/AC:M/Au:N/C:P/I:P/A:P)
Производитель ПО
Наименование ПО
drupal7
(any)
Описание
В Drupal, полнофункциональной инфраструктуре управления
содержимым, были обнаружены две ошибки. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2014-9015
Аарон Аверил обнаружил, что специально сформированный запрос может дать
пользователю доступ к сессии другого пользователя, что позволяет злоумышленнику
похитить случайную сессию.
CVE-2014-9016
Михаэль Куллум, Хавьер Нието и Андрес Рохас Гуерреро обнаружили, что
API хэширования паролей позволяет злоумышленнику отправлять
специально сформированные запросы, приводящие к чрезмерному потреблению времени процессора и
памяти. Это может приводить к тому, что сайт становится недоступным или перестаёт
отвечать (отказ в обслуживании).
Следует проверить изменённые файлы session.inc и password.inc на
предмет того, подвержены они указанным уязвимостям или нет. Дополнительная
информация может быть найдена в рекомендации из основной ветки разработки по адресу:
https://www.drupal.org/SA-CORE-2014-006
https://www.drupal.org/SA-CORE-2014-006">https://www.drupal.org/SA-CORE-2014-006
/> В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 7.14-2+deb7u8.
Рекомендуется обновить пакеты drupal7.
содержимым, были обнаружены две ошибки. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2014-9015
Аарон Аверил обнаружил, что специально сформированный запрос может дать
пользователю доступ к сессии другого пользователя, что позволяет злоумышленнику
похитить случайную сессию.
CVE-2014-9016
Михаэль Куллум, Хавьер Нието и Андрес Рохас Гуерреро обнаружили, что
API хэширования паролей позволяет злоумышленнику отправлять
специально сформированные запросы, приводящие к чрезмерному потреблению времени процессора и
памяти. Это может приводить к тому, что сайт становится недоступным или перестаёт
отвечать (отказ в обслуживании).
Следует проверить изменённые файлы session.inc и password.inc на
предмет того, подвержены они указанным уязвимостям или нет. Дополнительная
информация может быть найдена в рекомендации из основной ветки разработки по адресу:
https://www.drupal.org/SA-CORE-2014-006
https://www.drupal.org/SA-CORE-2014-006">https://www.drupal.org/SA-CORE-2014-006
/> В стабильном выпуске (wheezy) эти проблемы были исправлены в
версии 7.14-2+deb7u8.
Рекомендуется обновить пакеты drupal7.
Как исправить
Проблема может быть решена обновлением операционной системы до следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 7:
noarch:
drupal7 - 7.14-2+deb7u8
Debian GNU/Linux 7:
noarch:
drupal7 - 7.14-2+deb7u8
Ссылки
http://www.debian.org/security/dsa-3075/
Источник: CVE
Наименование: CVE-2014-9015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9015
Источник: CVE
Наименование: CVE-2014-9016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9016
Источник: CVE
Наименование: CVE-2014-9015
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9015
Источник: CVE
Наименование: CVE-2014-9016
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-9016