- 编号:DRUPAL-SA-2008-067
- 项目:Drupal核心
- 版本:drupal5.x和 drupal6.x
- 日期:2008年10月22日
- 安全风险:低
- 攻击点:远程/本地
- 漏洞:多个
描述
在Drupal中发现的多个漏洞和不足之处。
文件包含
这个比较特别,大概意思是在一个虚拟主机的服务器上,基于IP地址配置了多个虚拟主机,此时drupal就有可能执行drupal根目录以外的文件。
这个bug影响Drupal 5.x 和Drupal 6.x.
跨站点脚本
Book页面的标题没有完全进行合适的过滤,这使得具有"create book content"权限的用户能够编辑book中的任意节点,并且能够向其中插入任意的html脚本。这样黑客就可以进行跨站点脚本攻击,从而获取更高的权限。
这个bug影响Drupal 6.x.
影响版本
- 对于Drupal 5.x,5.12以前的版本
- 对于Drupal 6.x,6.6以前的版本
解决方案
安装最新版本
- 如果你用的是Drupal 5.x的话,那么可以升级到Drupal 5.12
- 如果你用的是Drupal 6.x的话,那么可以升级到Drupal 6.6
注意:settings.php, robots.txt 和.htaccess文件没有修改,对当前drupal版本升级时,可不用替换这些文件。
如果你不能立即升级的话,你可以先打个补丁,直到你有时间和精力升级为止。这些补丁仅仅修复了这些安全漏洞,但是没有包含其它的修订及改进。
- 对Drupal 5.11打补丁SA-2008-067-5.11.patch
- 对Drupal 6.5打补丁SA-2008-067-6.5.patch
报告人
- 文件包含漏洞由Anthony Ferrara报告
- 跨站点脚本问题报告人为Maarten van Grootel
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
