• 编号: DRUPAL-SA-2008-048-b
• 项目:CCK(第三方模块)
• 版本: 5.x
• 日期: 2008年9月- 04
• 安全风险:不关键
• 攻击点: 远程
• 漏洞:跨站点脚本
更新
此安全公告是对SA-2008-048公告的更新,原公告建议将Drupal 5.x的CCK升级到5.x-1.8.现在你应该升级到5.x-1.9.
描述
CCK 允许某些特权用户通过浏览器为节点类型添加新的字段.
一些输入字段设置(字段标签,帮助文本, 允许的值),在没有经过合适的过滤就被展示了出来.具有“管理内容”权限的恶意用户,可以利用这一点,向页面中插入任意的HTML和脚本代码。这样,恶意用户就可以使用XSS攻击来获取更多的权限。
只有当你的站点管理员比较多时,有多个管理员账号时,这才是一个问题,如果你只有超级用户这1个管理员的话,就不会遇到这个问题。
受影响的版本
• Drupal 5.x的CCK 5.x-1.9以前的版本。
Drupal核心是不受影响。Drupal 6的CCK RC版本不受影响。
如果你的Drupal5.x站点没有使用CCK的话,你就不用担心了。
解决方案
安装最新版本:
• CCK 5.x-1.8有两个重要漏洞,不要使用这个版本。
• CCK 5.x-1.9修正了这些问题,并提供了安全补丁。
参看CCK项目页面
注意:
如果您使用外地的主题模板,您将需要手动更改的功能phptemplate_field (或可能THEME_NAME_field )在您的主题的template.php :
如果你使用了字段模板的话,那么你需要在你主题的template.php中的phptemplate_field(或者THEME_NAME_field)函数里面手工的修改以下内容:
把
'label' => t($field['widget']['label']),
改为:
'label' => check_plain(t($field['widget']['label']))
报告
• 在跨站点脚本的问题是报告的彼得Wolanin从Drupal安全小组。
• Drupal安全小组的Peter Wolanin报告了这个跨站点脚本问题
联系方式
对于Drupal安全问题,你可以通过security@drupal.org给我们发送email,或者通过http://drupal.org/contact在线联系我们。
