- 编号:DRUPAL-SA-2008-059
- 项目:多个第3方模块在升级时没有正确的使用Drupal 6菜单系统
- 版本:drupal6.x
- 日期:2008年10月8日
- 安全风险:中
- 攻击点:远程
- 漏洞:绕过访问检查
描述
一些第3方模块,在从drupal5版升级到Drupal6版时,没有正确的使用Drupal6的菜单系统。这样一些未授权用户,就有可能绕过安检,直接进入了。有时候,这包括这些模块的一些管理权限,以及未授权用户不应该看到的信息。
Drupal核心不受影响。仅用掉受影响的模块,就可以立马见效^_^
影响版本
- 低于6.x-1.0版的Live模块
- 低于6.x-1.2版的AJAX Picture Preview模块
- 2008-10-08以前的6.x-1.x-dev 版Admin:hover 模块
- 低于6.x-1.3版的Banner Rotor Module模块
- 低于6.x-1.1版的Creative Commons Lite模块
- 低于6.x-1.1版的Keyboard shortcut utiilty模块
- 低于6.x-1.4版的LiveJournal CrossPoster模块
- 低于6.x-1.2版的Taxonomy import/export via XML模块
- 2008-10-0以前的6.x-1.x-dev 版User Referral 模块
Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你的Drupal6站点没有用到上述的第3方模块的话,那么你就不用担心了.
解决方案
如果你的站点使用了上述所列的任意一个模块,你需要把它升级到最新的版本。
注意
如果你是一个第3方模块的作者的话,正在准备升级到Drupal6,那么你需要好好读读Drupal 6菜单系统的文档,从而避免犯下同样的错误:http://drupal.org/node/109157。
报告人
Drupal安全小组的John Morahan 和Peter Wolanin。
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: AjK ,发表日期: 2008年10月8日21:28
