- 编号:DRUPAL-SA-2008-060
- 项目:Drupal核心
- 版本:drupal5.x和 drupal6.x
- 日期:2008年10月8日
- 安全风险:高
- 攻击点:远程
- 漏洞:多个
描述
在Drupal中发现的多个漏洞和不足之处。
文件上传之绕过检查
核心的上传模块的验证存在一个逻辑错误,从而使得未授权的用户可以向内容中添加附件。这个bug仅仅影响Drupal6.x。
用户无权访问的一些节点,但是却可以访问节点上附件。这个bug仅仅影响Drupal5.x。
如果没有使用核心的上传模块的话,那就不关你的事了。
绕过访问规则
用户模块(user module)的一个不足是,对于那些使用访问规则禁止的用户,则特定的一些条件下,仍然可以继续登录站点。
如果你没有用到核心的'access rules'(访问规则)功能的话,你就不用担心了。
这个bug影响Drupal 5.x 和Drupal 6.x
BlogAPI的绕过访问检查
BlogAPI模块对于特定内容字段的验证不正确,从而允许将值设置到平时无法访问的字段上。在这个版本中,我们对BlogAPI模块作了改进,但是安全小组还是提醒您,'Administer content with BlogAPI'权限只能授予可信的人。
如果没有启用BlogAPI模块的话,你就不用担心了。
这个bug影响Drupal 5.x 和Drupal 6.x.
绕过节点验证
节点模块API的一个不足时,实现了该API的第3方模块在某些条件下可以绕过节点验证。为此,添加了额外的检查,以确保在所有的情况下都万无一失。这个漏洞仅仅影响个别第3方模块,对于大多数都不影响。由于没有发现漏洞,所以我们的改进算得上是未雨绸缪了。
这个bug影响Drupal5.x.
影响版本
- 对于Drupal 5.x,5.11以前的版本
- 对于Drupal 6.x,6.5以前的版本
解决方案
安装最新版本
- 如果你用的是Drupal 5.x的话,那么可以升级到Drupal 5.11
- 如果你用的是Drupal 6.x的话,那么可以升级到Drupal 6.5
注意:settings.php, robots.txt 和.htaccess文件没有修改,对当前drupal版本升级时,可不用替换这些文件。
如果你不能立即升级的话,你可以先打个补丁,直到你有时间和精力升级为止。这些补丁仅仅修复了这些安全漏洞,但是没有包含其它的修订及改进。
- To patch Drupal 5.10 use SA-2008-060-5.10.patch.
- 对Drupal 5.10打补丁SA-2008-060-5.10.patch
- To patch Drupal 6.4 use SA-2008-047-6.4.patch.
- 对Drupal 6.4打补丁SA-2008-047-6.4.patch.
报告人
- 上传模块(upload module)的瑕疵是由Damien Tournoud*发现的
- 绕过访问检查,是由jry2000 和Stéphane Corlosquet*报告的
- BlogAPI漏洞的报告人为 Caleb Delnay, Gábor Hojtsy* 和Heine Deelstra*
- 节点模块(node modules)的漏洞的报告人为Derek Wright*
其中标有型号的用于为Drupal安全小组成员。
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Gábor Hojtsy,发表日期: 2008年10月8日21:43
相关链接: http://drupal.org/node/318706 , http://zhupou.cn
