Összefoglaló
A Drupal CAS Server moduljának sérülékenységét jelentették, amelyet kihasználva a támadók megkerülhetnek bizonyos biztonsági korlátozásokat.
Leírás
A sérülékenység oka, hogy a Drupal cache tárolja a CAS jegy érvényességeket és kihasználható a régi munkamenet újrainicializálására egy replay támadással.
A sérülékenység sikeres kihasználásához a Drupal lap cache engedélyezve kell legyen.
A sérülékenységet a 7.x-1.3 és 6.x-3.3 előtti verziókban jelentették.
Megoldás
Frissítsen a legújabb verzióraTámadás típusa
Security bypass (Biztonsági szabályok megkerülése)Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: drupal.org
SECUNIA 57467