SA-2008-065 - Node Clone –绕过安检

• 编号：DRUPAL-SA-2008-065
• 项目：Node Clone（第三方模块）
• 版本：drupal5.x和 drupal6.x
• 日期：2008年10月15日
• 安全风险:低
• 攻击点：远程
• 漏洞：绕过安检

描述

第3方模块Node Clone(节点克隆),允许用户复制一个节点,然后对复制品进行编辑.

这个模块有一个不足之处,它允许具有'clone node'(克隆节点)权限的用户绕过普通的查看访问限制,比如允许用户查看未发布的节点,即便是他们没有权限查看未发布的节点.

影响版本

• 2008年10月15日以前的所有Node Clone版本

Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Node Clone(节点克隆)模块的话，那么你就不用担心了.

解决方案

安装最新版本

• 对于6.x-1.0-beta2版,需升级到Node clone 6.x-1.0.
• 对于5.x-2.5版,需升级到Node clone 5.x-2.6.
• 对于5.x-1.5版,需升级到Node clone 5.x-1.6.

     参看Node Clone(节点克隆)项目页面.

报告人

      Drupal安全小组的Peter Wolanin

联系方式

      对于Drupal安全问题，你可以通过security at drupal.org (at替换为@)给我们发送email，或者通过http://drupal.org/contact在线联系我们。

原文作者:  pwolanin ,发表日期: 2008年10月15日18:27

相关链接: http://drupal.org/node/321737 , http://zhupou.cn