Debian セキュリティ勧告

DSA-1125-2 drupal -- 複数の脆弱性

報告日時:
2006-07-27
影響を受けるパッケージ:
drupal
危険性:
あり
参考セキュリティデータベース:
Debian バグ追跡システム: バグ 368835.
Mitre の CVE 辞書: CVE-2006-2742, CVE-2006-2743, CVE-2006-2831, CVE-2006-2832, CVE-2006-2833.
詳細:

DSA 1125 での Drupal の修正にはバグがありました。この更新はこの問題を修正します。 念のため、元の勧告を再掲します。

複数のリモートからの脆弱性が、Web サイトプラットホーム Drupal に発見されました。 この問題により、任意のウェブスクリプトの実行を引き起こす可能性があります。 Common Vulnerabilities and Exposures プロジェクトでは以下の問題を特定しています。

  • CVE-2006-2742

    SQL インジェクション脆弱性が、データベースインターフェースの count および from 変数に発見されました。

  • CVE-2006-2743

    mod_mime を有効にした Apache で Drupal を実行した場合、複数のファイル拡張子が誤った扱いをされていました。

  • CVE-2006-2831

    CVE-2006-2743 類似の問題も修正されました。

  • CVE-2006-2832

    upload モジュールに、クロスサイトスクリプティング脆弱性が発見されました。

  • CVE-2006-2833

    taxonomy モジュールに、クロスサイトスクリプティング脆弱性が発見されました。

安定版ディストリビューション (stable、コードネーム sarge) では、これらの問題はバージョン 4.5.3-6.1sarge2 で修正されています。

不安定版ディストリビューション (unstable、コードネーム sid) では、これらの問題はバージョン 4.5.8-1.1 で修正されています。

drupal パッケージのアップグレードをお勧めします。

修正:

Debian GNU/Linux 3.1 (sarge)

ソース:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
アーキテクチャ非依存コンポーネント:
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2_all.deb

一覧にあるファイルの MD5 チェックサムは勧告の原文にあります。