Összefoglaló
A Drupalhoz lényeges biztonsági hibajavítások váltak elérhetővé. Ezek segítségével olyan sérülékenységeket lehet orvosolni, amelyek jogosulatlan műveletvégrehajtásra, adatlopásra, XSS-alapú károkozásokra vagy SQL injection típusú támadásokra adhatnak lehetőséget.
Leírás
A fejlesztők az alábbi összetevők, funkciók kapcsán foltoztak be biztonsági réseket:
– Drupal.ajax() (XSS-hiba)
– autocomplete funkció (XSS-hiba)
– SQL kommentek szűrése (SQL injection sebezhetőség)
– Bemeneti paraméterek szűrése a Drupal API esetében (XSS-hiba).
– hozzáférési szabályokkal kapcsolatos problémák.
Megoldás
A 6.37 vagy a 7.39-es verziókra történő frissítés.
Támadás típusa
Cross Site Scripting (XSS/CSS)Information disclosure (Információ/adat szivárgás)
SQL Injection
System access (Rendszer hozzáférés)
Hatás
Loss of confidentiality (Bizalmasság elvesztése)Loss of integrity (Sértetlenség elvesztése)
Szükséges hozzáférés
Remote/Network (Távoli/hálózat)Hivatkozások
Gyártói referencia: www.drupal.org
Egyéb referencia: isbk.hu
CVE-2015-6658 - NVD CVE-2015-6658
CVE-2015-6659 - NVD CVE-2015-6659
CVE-2015-6660 - NVD CVE-2015-6660
CVE-2015-6661 - NVD CVE-2015-6661
CVE-2015-6665 - NVD CVE-2015-6665