Mandriva Linux 安全公告:drupal (MDVSA-2013:287-1)
medium Nessus 插件 ID 71101
语言:
简介
远程 Mandriva Linux 主机缺少一个或多个安全更新。描述
已在 drupal 中发现并修复了多种安全问题:Drupal 核心的 Image 模块允许按需生成图像衍生品。攻击者可滥用此功能,请求大量新的衍生品,这些衍生品可填满服务器磁盘空间,从而导致很高的 CPU 负载。这些影响之一可能导致站点不可用或不响应 (CVE-2013-0316)。
Drupal 的表单 API 已内置了跨站请求伪造 (CSRF) 验证,并且还允许任何模块对该表单执行自己的验证。在某些常见情况下,表单验证功能可能执行不安全的操作 (CVE-2013-6385)。
Drupal 核心直接使用 mt_rand() 伪随机数发生器生成在多个核心模块中使用的安全相关字符串。
已发现暴力破解工具可确定种子,从而导致这些字符串在某些情况下可预测 (CVE-2013-6386)。
图像字段描述在打印到 HTML 之前未正确审查,因此存在跨站脚本漏洞 (CVE-2013-6387)。
已在 Color 模块中发现了一个跨站脚本漏洞。恶意攻击者可诱骗经过认证的管理用户访问包含特定 JavaScript 的页面,从而通过在 CSS 中执行 JavaScript 发起反射型跨站脚本攻击 (CVE-2013-6388)。
Overlay 模块将管理页面显示为当前页面上的层(使用 JavaScript),而不是替换浏览器窗口中的页面。Overlay 模块在显示 URL 内容之前未对其进行充分验证,导致开放重定向漏洞 (CVE-2013-6389)。
更新后的程序包已升级到 7.24 版,此版本不受这些安全缺陷的影响。
更新:
已添加了更多 apache ACL 限制,以便完全符合 SA-CORE-2013-003 公告的要求。
解决方案
更新受影响的数据包。另见
插件详情
严重性: Medium
ID: 71101
文件名: mandriva_MDVSA-2013-287.nasl
版本: 1.12
类型: local
发布时间: 2013/11/27
最近更新时间: 2021/1/6
支持的传感器: Nessus
风险信息
VPR
风险因素: Medium
分数: 5.8
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:mandriva:linux:drupal, p-cpe:/a:mandriva:linux:drupal-mysql, p-cpe:/a:mandriva:linux:drupal-postgresql, p-cpe:/a:mandriva:linux:drupal-sqlite, cpe:/o:mandriva:business_server:1
必需的 KB 项: Host/local_checks_enabled, Host/cpu, Host/Mandrake/release, Host/Mandrake/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2013/12/17
参考资料信息
CVE: CVE-2013-0316, CVE-2013-6385, CVE-2013-6386, CVE-2013-6387, CVE-2013-6388, CVE-2013-6389
BID: 58069
MDVSA: 2013:287-1