• Все разделы
  • Статьи
  • Медиа
  • Новости
  • Нормативные материалы
  • Конференции
  • Глоссарий

DSA-3897-1 drupal7 -- обновление безопасности

Главная Специалистам База уязвимостей DSA-3897-1 drupal7 -- обновление безопасности

Карточка уязвимости

Характеристики уязвимости

Уровень опасности
Оценка CVSS
Производитель ПО
Наименование ПО
drupal7 (any)
Описание
В Drupal, полнофункциональной инфраструктуре управления содержимым, были
обнаружены две уязвимости. Проект Common Vulnerabilities and Exposures
определяет следующие проблемы:

CVE-2015-7943
    Самуэль Мортенсон и Пере Орга обнаружили, что модуль overlay
    выполняет недостаточную проверку URL перед отображением их
    содержимого, что приводит к уязвимостям при открытых перенаправлениях.
    Дополнительную информацию можно найти по адресу
    https://www.drupal.org/SA-CORE-2015-004https://www.drupal.org/SA-CORE-2015-004">https://www.drupal.org/SA-CORE-2015-004 />     

CVE-2017-6922
    Грег Кнаддисон, Мори Сугимото и iancawthorne обнаружили, что к файлам,
    загруженным анонимными пользователями в приватную файловую систему, другие
    могут получать доступ другие анонимные пользователи, что приводит к обходу
    ограничений доступа.
    Дополнительную информацию можно найти по адресу
    https://www.drupal.org/SA-CORE-2017-003https://www.drupal.org/SA-CORE-2017-003">https://www.drupal.org/SA-CORE-2017-003 />     


В предыдущем стабильном выпуске (jessie) эти проблемы были исправлены
в версии 7.32-1+deb8u9.
В стабильном выпуске (stretch) эти проблемы были исправлены в
версии 7.52-2+deb9u1. В стабильном выпуске (stretch) уязвимость
CVE-2015-7943
была исправлена ещё до выпуска.
Рекомендуется обновить пакеты drupal7.
Как исправить
Проблема может быть решена обновлением операционной системыдо следующих версий пакетов в зависимости от архитектуры:
Debian GNU/Linux 9:
noarch:
drupal7 - 7.52-2+deb9u1
Debian GNU/Linux 8:
noarch:
drupal7 - 7.32-1+deb8u9
Ссылки
http://www.debian.org/security/dsa-3897/

Источник: CVE
Наименование: CVE-2017-6922
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-6922

Источник: CVE
Наименование: CVE-2015-7943
URL: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-7943