- 编号:DRUPAL-SA-2008-054
- 项目:Plugin Manager(第三方模块)
- 版本:Drupal 6.x
- 日期:2008年9月24日
- 安全风险:危险
- 攻击点:远程
- 漏洞:绕过访问检查
描述
Plugin Manager模块提供了方法和图形界面用来自动安装来自于Drupal.org的模块和主题.
菜单权限上的一个漏洞,允许任何人都可以卸载和删除由Plugin Manager安装的模块.
只有当web服务器(比如apache)对文件拥有删除权限时,这个问题才会报漏出来。一般是不允许服务器对所有的文件都拥有删除权限的,关于文件权限的配置描述,参看drupal.org上的手册http://drupal.org/node/244924一文。
影响版本
Plugin Manager 6.x-1.2以前的所有版本
Drupal内核不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Plugin Manager模块的话,那么你就不用担心了.
解决方案
参看Plugin Manager项目页面.
报告人
Jared Forsyth (jabapyth)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
注:Plugin Manager:插件管理器,一个drupal模块名。
原文作者: Heine,发表日期: 2008年9月24日16:54
