Összefoglaló
A Drupal több sebezhetőségre adott ki javítást, amelyeket elsősorban jogosultságszerzésre, illetéktelen hozzáférésre, adatlopásra lehet kihasználni.
Leírás
A fejlesztők az alábbi összetevők kapcsán szüntettek meg biztonsági réseket:
– OpenID modul
– Field UI modul (Durpal 7) – a destinations paraméter nem megfelelő kezelése
– Overlay modul (Drupal 7)
– Render cache system (Drupal 7).
A fenti sebezhetőségek között akad olyan is, amely rendszergazdai hozzáférést biztosíthat az elkövetők számára.
Megoldás
A Drupal 6.36 vagy 7.38 verzióinak használata.
Támadás típusa
Information disclosure (Információ/adat szivárgás)Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Egyéb referencia: isbk.hu
Gyártói referencia: www.drupal.org
CVE-2015-3231 - NVD CVE-2015-3231
CVE-2015-3232 - NVD CVE-2015-3232
CVE-2015-3233 - NVD CVE-2015-3233
CVE-2015-3234 - NVD CVE-2015-3234