Boletines de Vulnerabilidades

int(2258)

Boletines de Vulnerabilidades

Múltiples vulnerabilidades en Drupal
Clasificación de la vulnerabilidad
Propiedad	Valor
Nivel de Confianza	Oficial
Impacto	Aumento de la visibilidad
Dificultad	Avanzado
Requerimientos del atacante	Acceso remoto sin cuenta a un servicio exotico
Información sobre el sistema
Propiedad	Valor
Fabricante afectado	GNU/Linux
Software afectado	Drupal 4.5.x < 4.5.8 Drupal 4.6.x < 4.6.6
Descripción
Se han descubierto múltiples vulnerabilidades en Drupal 4.5.x versión anterior a 4.5.8 y 4.6.x versión anterior a 4.6.6. Las vulnerabilidades son descritas a continuación: - CVE-2006-1225: La vulnerabilidad reside en un fallo la validación de la entrada. Un atacante remoto podría usar Drupal como un proxy de SPAM mediante la inyección de cabeceras a correos electrónicos que se envíen. - CVE-2006-1226: La vulnerabilidad reside en un fallo la validación de la entrada. Un atacante remoto podría inyectar código HTML o Web script. - CVE-2006-1227: La vulnerabilidad reside en que los menús creados mediante "menu.module" no disponen de control de acceso. Un atacante remoto podría acceder a páginas de administración. - CVE-2006-1228: La vulnerabilidad reside en un fallo de corrección de la sesión. Un atacante remoto podría obtener acceso a Drupal mediante un enlace especialmente diseñado que un usuario debería visitar.
Solución
Actualización de software Debian Debian Linux 3.1 Source http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz Architecture independent http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb
Identificadores estándar
Propiedad	Valor
CVE	CVE-2006-1225 CVE-2006-1226 CVE-2006-1227 CVE-2006-1228
BID
Recursos adicionales
Debian Security Advisory (DSA 1007-1) http://lists.debian.org/debian-security-announce/debian-security-announce-2006/msg00087.html