Карточка уязвимости
Характеристики уязвимости
Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
drupal7
(any)
Описание
В Drupal, полнофункциональной инфраструктуре управления содержимым, были
обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2015-7943
Самуэль Мортенсон и Пере Орга обнаружили, что модуль overlay
выполняет недостаточную проверку URL перед отображением их
содержимого, что приводит к уязвимостям при открытых перенаправлениях.
Дополнительную информацию можно найти по адресу
https://www.drupal.org/SA-CORE-2015-004
https://www.drupal.org/SA-CORE-2015-004">https://www.drupal.org/SA-CORE-2015-004
/>
CVE-2017-6922
Грег Кнаддисон, Мори Сугимото и iancawthorne обнаружили, что к файлам,
загруженным анонимными пользователями в приватную файловую систему, другие
могут получать доступ другие анонимные пользователи, что приводит к обходу
ограничений доступа.
Дополнительную информацию можно найти по адресу
https://www.drupal.org/SA-CORE-2017-003
https://www.drupal.org/SA-CORE-2017-003">https://www.drupal.org/SA-CORE-2017-003
/>
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 7.32-1+deb8u9.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52-2+deb9u1. В стабильном выпуске (stretch) уязвимость
CVE-2015-7943
была исправлена ещё до выпуска.
Рекомендуется обновить пакеты drupal7.
обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:
CVE-2015-7943
Самуэль Мортенсон и Пере Орга обнаружили, что модуль overlay
выполняет недостаточную проверку URL перед отображением их
содержимого, что приводит к уязвимостям при открытых перенаправлениях.
Дополнительную информацию можно найти по адресу
https://www.drupal.org/SA-CORE-2015-004
https://www.drupal.org/SA-CORE-2015-004">https://www.drupal.org/SA-CORE-2015-004
/>
CVE-2017-6922
Грег Кнаддисон, Мори Сугимото и iancawthorne обнаружили, что к файлам,
загруженным анонимными пользователями в приватную файловую систему, другие
могут получать доступ другие анонимные пользователи, что приводит к обходу
ограничений доступа.
Дополнительную информацию можно найти по адресу
https://www.drupal.org/SA-CORE-2017-003
https://www.drupal.org/SA-CORE-2017-003">https://www.drupal.org/SA-CORE-2017-003
/>
В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 7.32-1+deb8u9.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52-2+deb9u1. В стабильном выпуске (stretch) уязвимость
CVE-2015-7943
была исправлена ещё до выпуска.
Рекомендуется обновить пакеты drupal7.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
drupal7 - 7.52-2+deb9u1
Debian GNU/Linux 8:
noarch:
drupal7 - 7.32-1+deb8u9
Debian GNU/Linux 9:
noarch:
drupal7 - 7.52-2+deb9u1
Debian GNU/Linux 8:
noarch:
drupal7 - 7.32-1+deb8u9
Ссылки
http://www.debian.org/security/dsa-3897/
Источник: CVE
Наименование: CVE-2017-6922
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6922
Источник: CVE
Наименование: CVE-2015-7943
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7943
Источник: CVE
Наименование: CVE-2017-6922
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6922
Источник: CVE
Наименование: CVE-2015-7943
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7943