- 编号:DRUPAL-SA-2008-068
- 项目:Localization client and Localization server(本地化客户端和本地化服务器)(第三方模块)
- 版本:drupal5.x和 drupal6.x
- 日期:2008年10月22日
- 安全风险:中
- 攻击点:远程
- 漏洞:绕过安检
描述
本地化客户端模块让你能够翻译drupal网站每个页面的界面。而本地化服务器,是为drupal的模块和主题的翻译服务的,主要适用于drupal翻译小组。服务器还提供了一个接口,让用户可以提交翻译建议。
客户端的本地翻译提交接口,在服务器上批准和拒绝建议,以及客户端将建议远程提交到服务器上,里面都存在跨站点伪造请求的漏洞(CSRF)。这可能导致非本意的修改。
影响版本
- Drupal 5.x的本地化客户端模块,5.x-1.1以前的;Drupal 6.x的本地化客户端,6.x-1.6以前的。
- Drupal 5.x的本地化服务器模块,5.x-1.0-alpha5以前的;Drupal 6.x的本地化客户端,6.x-alpha2以前的。
Drupal核心不受影响。 如果你没有用到Localization client(本地化客户端) 或者Localization server(本地化服务器)模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 如果你使用了本地化客户端模块的话,对于drupal 5.x, 6.x,请分别升级到Localization client 5.x-1.1 和Localization client 6.x-1.6
- 如果你使用了本地化服务器模块的话,对于drupal 5.x, 6.x,请分别升级到Localization server 5.x-1.0-alpha5 和 Localization server 6.x-1.0-alpha2.
可参看本地化客户端项目页面和本地化服务器项目页面。
报告人
- 模块的维护者Gábor Hojtsy (Gábor Hojtsy)和Jose A Reyero (Jose A Reyero)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Gábor Hojtsy ,发表日期: 2008年10月22日20:34
