drupal-6.27-1.AXS3

エラータID: AXSA:2012-1054:02

リリース日: 
2012/12/31 Monday - 21:53
題名: 
drupal-6.27-1.AXS3
影響のあるチャネル: 
Asianux Server 3 for x86_64
Asianux Server 3 for x86
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Drupal はブロックされたユーザに対して情報を表示してしまい,検索結果を読み取ることでリモートのユーザが機密情報を得る脆弱性があります。(CVE-2012-5651)

- Drupal には (1) RSS フィードあるいは (2) 検索結果によって,リモートの攻撃者がアップロードされたファイルについての機密情報を得る脆弱性があります。 (CVE-2012-5652)

- Drupal のファイルアップロード機能には,ファイル名に含まれるヌル文字によってリモートの認証されたユーザが保護メカニズムを迂回し,任意の PHP コードを実行する脆弱性があります。(CVE-2012-5653)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

CVE: 
CVE-2012-5651
Drupal 6.x before 6.27 and 7.x before 7.18 displays information for blocked users, which might allow remote attackers to obtain sensitive information by reading the search results.
CVE-2012-5652
Drupal 6.x before 6.27 allows remote attackers to obtain sensitive information about uploaded files via a (1) RSS feed or (2) search result.
CVE-2012-5653
The file upload feature in Drupal 6.x before 6.27 and 7.x before 7.18 allows remote authenticated users to bypass the protection mechanism and execute arbitrary PHP code via a null byte in a file name.




追加情報: 

N/A

ダウンロード: 

Asianux Server 3 for x86
  1. drupal-6.27-1.AXS3.noarch.rpm
    MD5: 150db6e40da9ab124a53ba6bebc27c58
    SHA-256: 0754c74dafa66e99de7a575b162149970caff30bb98e679bc9712ac452090d07
    Size: 1.91 MB

Asianux Server 3 for x86_64
  1. drupal-6.27-1.AXS3.noarch.rpm
    MD5: 258bbccd1dbce60b36163d2a2b0f4055
    SHA-256: ca16351460f0ae4fdfa89b12e1bf4c6fc6ec79167ce4b4a3fc34eb911c189d24
    Size: 1.91 MB