- 编号:DRUPAL-SA-2008-062
- 项目:SIOC(第三方模块)
- 版本:drupal5.x和 drupal6.x
- 日期:2008年10月8日
- 安全风险:中
- 攻击点:远程
- 漏洞:绕过安检
描述
SIOC的英文全称为Semantically-Interconnected Online Communities(互联在线社区—语义),这个项目就是一个开放的规范,用来描述使用了在线论坛或者博客的社区的,这个模块允许Drupal站点向用户,帖子,评论等等上面添加元数据。
这个模块没有正确的使用Drupal的菜单和数据库API,这使得未授权的用户也可以查看他们无权查看的一些信息,比如评论,电子邮件,用户名和角色。
影响版本
- 对于Drupal5.x版,所有低于5.x-1.2的
- 对于Drupal6.x版,所有低于6.x-1.1的
Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到SIOC模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 如果你用的是Drupal5.x版的话,需升级到SIOC 5.x-1.2
- 如果你用的是Drupal6.x版的话,需升级到SIOC 6.x-1.1
参看SIOC项目页面。
报告人
- Drupal安全小组的Stéphane Corlosquet 和ePeter Wolanin
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Amazon ,发表日期: 2008年10月8日21:47
相关链接: http://drupal.org/node/318749 , http://zhupou.cn
