Flere sårbarheder er opdaget i drupal6, et komplet framework til indholdshåndtering. Projektet Common Vulnerabilities and Exposures har registreret følgende problemer:
Gerhard Killesreiter opdagede en fejl i de måde, brugersignaturer blev håndteret på. Det var muligt for en bruger, at indsprøjte vilkårlig kode gennem en fabrikeret brugersignatur. (SA-CORE-2009-007)
Mark Piper, Sven Herrmann og Brandon Knight opdagede i forummodulet en sårbarhed i forbindelse med udførelse af skripter på tværs af websteder, hvilket kunne udnyttes gennem tid-parameteret. (SA-CORE-2009-007)
Sumit Datta opdagede at visse drupal6-sider lækkede følsomme oplysninger så som brugeroplysninger. (SA-CORE-2009-007)
Flere designfejl i OpenID-modulet er rettet, hvilke kunne have ført til forespørgselsforfalskninger på tværs af websteder eller rettighedsforøgelse. Desuden behandlede filoplægningsfunktionen ikke alle udvidelser på korrekt vis, hvilket muligvis kunne føre til udførelse af vilkårlig kode. (SA-CORE-2009-008)
Den gamle stabile distribution (etch) indeholder ikke drupal6.
I den stabile distribution (lenny), er disse problemer rettet i version 6.6-3lenny3.
I distributionen testing (squeeze) og i den ustabile distribution (sid), er disse problemer rettet i version 6.14-1.
Vi anbefaler at du opgraderer dine drupal6-pakker.
MD5-kontrolsummer for de listede filer findes i den originale sikkerhedsbulletin.