- 编号:DRUPAL-SA-2008-073
- 项目:Drupal核心
- 版本:drupal5.x和 drupal6.x
- 日期:2008年12月10日
- 安全风险:中
- 攻击点:远程
- 漏洞:多个安全漏洞
描述
在drupal中发现了多个漏洞和弱点。
跨站点伪造请求
升级系统存在跨站点伪造请求漏洞。恶意用户,可能导致超级用户执行旧的更新,从而破坏数据库。
跨站点脚本
当一个输入格式被删除以后,并不是网站上所有与之相关的内容都进行了更新。而这些内容就会被不经过滤的显示出来。如果以前存在恶意的内容的话,里面包含了恶意标签,那么这就可能导致跨站点脚本攻击。
影响版本
- 对于Drupal 5.x, 5.13以前的所有版本
- 对于Drupal 6.x, 6.7以前的所有版本
解决方案
安装最新版本
- 对于Drupal 5.x,你需要升级到Drupal 5.13
- 对于Drupal 6.x,你需要升级到Drupal 6.7
注意: robots.txt 和.htaccess文件已被修改,所以需要替换. settings.php文件没有被修改,可以不用替换,如果你是在同一个drupal版本之间升级的话.
如果你不能够立即升级,你可以打一个安全补丁,等你有时间了,再升级。这些补丁修复了安全漏洞,但是不包括其它的一些改动
- 给Drupal 5.12打补丁可用SA-2008-073-5.12.patch
- 给Drupal 6.6打补丁可用SA-2008-073-6.6.patch.
报告人
所有问题都是由David Rothstein (David_Rothstein)报告的.
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Gábor Hojtsy ,发表日期: 2008年12月10日21:42
