- 编号:DRUPAL-SA-2008-074
- 项目:Services(第3方模块)
- 版本:drupal5.x和 drupal6.x
- 安全风险:高
- 攻击点:远程
- 漏洞:重复攻击和模拟
描述
Services模块用来提供一个API,将Drupal函数暴露给外部。它允许客户远程的调用服务器上的方法,并返回请求数据以供本地处理。
这个模块对于信息没有进行充分的处理,还使用了不安全的哈希,恶意用户就可以利用这一点进行模拟攻击。另外,请求的验证不会过期,因此可以被重复利用,这就允许了重复攻击。
影响版本
- 对于Drupal 5.x版的Services,所有低于5.x-0.92的
- 对于Drupal 6.x版的Services,所有低于6.x-0.13的
Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Services模块的话,那么你就不用担心了.
解决方案
安装最新版本
- 对于Drupal 5.x版的Services,升级到Services 5.x-0.92
- 对于Drupal6.x版的Services,升级到Services 6.x-0.13
可参看 Services项目页面
报告人
- Steven Wittens (Steven)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: Drupal Security Team ,发表日期: 2008年12月17日18:12
