Drupal frissítés


2015. június 18. 07:22

CH azonosító

CH-12344

Angol cím

Drupal update

Felfedezés dátuma

2015.06.17.

Súlyosság

Magas

Érintett rendszerek

Drupal

Érintett verziók

Drupal 6.x
Drupal 7.x

Összefoglaló

A Drupal több sebezhetőségre adott ki javítást, amelyeket elsősorban jogosultságszerzésre, illetéktelen hozzáférésre, adatlopásra lehet kihasználni.

Leírás

A fejlesztők az alábbi összetevők kapcsán szüntettek meg biztonsági réseket:
– OpenID modul
– Field UI modul (Durpal 7) – a destinations paraméter nem megfelelő kezelése
– Overlay modul (Drupal 7)
– Render cache system (Drupal 7).

A fenti sebezhetőségek között akad olyan is, amely rendszergazdai hozzáférést biztosíthat az elkövetők számára.

Megoldás

A Drupal 6.36 vagy 7.38 verzióinak használata.

Támadás típusa

Information disclosure (Információ/adat szivárgás)
Privilege escalation (jogosultság kiterjesztés)
System access (Rendszer hozzáférés)

Hatás

Loss of confidentiality (Bizalmasság elvesztése)
Loss of integrity (Sértetlenség elvesztése)

Szükséges hozzáférés

Remote/Network (Távoli/hálózat)

Hivatkozások

Egyéb referencia: isbk.hu
Gyártói referencia: www.drupal.org
CVE-2015-3231 - NVD CVE-2015-3231
CVE-2015-3232 - NVD CVE-2015-3232
CVE-2015-3233 - NVD CVE-2015-3233
CVE-2015-3234 - NVD CVE-2015-3234

Legfrissebb sérülékenységek
CVE-2024-53104 – Linux Kernel sérülékenysége
CVE-2010-3765 – Mozilla Multiple Products RCE sérülékenysége
CVE-2013-3918 – Microsoft Windows Out-of-Bounds Write sérülékenysége
CVE-2025-27915 – Synacor Zimbra Collaboration Suite (ZCS) Cross-site Scripting sérülékenysége
CVE-2010-3962 – Microsoft Internet Explorer Uninitialized Memory Corruption sérülékenysége
CVE-2021-22555 – Linux Kernel Heap Out-of-Bounds Write sérülékenysége
CVE-2025-4008 – Smartbedded Meteobridge Command Injection sérülékenysége
CVE-2015-7755 – Juniper ScreenOS Improper Authentication sérülékenysége
CVE-2017-1000353 – Jenkins RCE sérülékenysége
CVE-2014-6278 – GNU Bash OS Command Injection sérülékenysége
Tovább a sérülékenységekhez »