drupal-6.19-1.AXS3

以下項目について対処しました。

[Security Fix]
- drupal の OpenID モジュールには OpenID 2.0 プロトコルで要求されている検証が実装されていない問題が存在し, 仕様の違反によって, 悪意のあるサイトが OpenID プロバイダから肯定アサーションを得ることができ, 取得した OpenID と結び付いた既存のアカウントへのアクセス権を得るためにOpen IDモジュールを使用することのできる脆弱性があります。

- upload モジュールにはあるデータベースの設定でファイル名の大文字小文字の違いを考慮していない問題が存在し, 悪意のあるユーザが同じファイル名で大文字小文字のみの相違があるファイルをアップロードし, 以前にアップロードしたファイルにアクセス権がなくともアクセスする権限を得る脆弱性があります。

- comment モジュールには承認なしにコメントを投稿する権限のあるユーザが URLを細工することによって, 以前非公開にしたコメントを再投稿することのできる脆弱性があります。

- Drupal の trigger モジュールと組み合わせた actions 機能には, コンテンツとタクソノミータグ投稿権限を持つユーザがノードとタクソノミータームを作成する際に, アクションメッセージに含めるためにノードとタクソノミーのサニタイズが適切に行われておらず, 任意の HTML とスクリプトコードを Drupal のページに注入できる脆弱性があります。