drupal-6.4-1AXS3
エラータID: AXSA:2008-285:02
以下項目について対処しました。
[Security Fix]
- バージョン 6.4 より前の Drupal 6.x において、複数の CSRF 脆弱性が発見されました。この脆弱性により、リモートの攻撃者が (1) キャッシュされたフォーム、及び (2) AHAH エレメントを持つフォームにおいて、不適切な入力を通して、予期せぬ動作をさせる可能性があります。(CVE-2008-3743)
- バージョン 5.10 より前の Drupal 5.x 及び、バージョン 6.4 より前の Drupal 6.x において、複数の CSRF 脆弱性が発見されました。この脆弱性により、リモートの攻撃者が不適切な URL 入力を通して、(1) ユーザアクセスルールの追加、及び (2) 削除を管理者権限で実行する可能性があります。(CVE-2008-3744)
- バージョン 6.3 より前の Drupal 6.x において、複数の XSS 脆弱性が発見されました。この脆弱性により、リモートの攻撃者が (1) プレビューページ内の適切に処理されていない自由に入力可能なタグ分類項目、及び (2) 不適切な OpenID URL 入力を通して、(1) ユーザアクセスルールの追加、及び (2) 削除を管理者権限で実行する可能性があります。(CVE-2008-3218)
- バージョン 5.8 より前の Drupal 5.x 及び、バージョン 6.3 より前の Drupal 6.x において、複数の CSRF 脆弱性が発見されました。この脆弱性により、リモートの攻撃者が翻訳文の削除を含む、管理者権限での処理を実行する可能性があります。(CVE-2008-3220)
- バージョン 6.3 より前の Drupal 6.x において、複数の CSRF 脆弱性が発見されました。この脆弱性により、リモートの攻撃者が OpenID の削除を含む、管理者権限での処理を実行する可能性があります。(CVE-2008-3221)
- バージョン 5.9 より前の Drupal 5.x 及び、バージョン 6.3 より前の Drupal 6.x において、提供されているモジュールがログインイベント中に現セクションの終了を実行した場合、リモートの攻撃者がセッションハイジャック可能な脆弱性が発見されました。(CVE-2008-3222)
- バージョン 6.3 より前の Drupal 6.x の Schema API において、'numeric' フィールドに不適切なプレースホルダーを入力することにより、リモートの攻撃者が任意の SQL コマンドを実行可能な脆弱性が発見されました。(CVE-2008-3223)
パッケージをアップデートしてください。
Multiple cross-site request forgery (CSRF) vulnerabilities in forms in Drupal 6.x before 6.4 allow remote attackers to perform unspecified actions via unknown vectors, related to improper token validation for (1) cached forms and (2) forms with AHAH elements.
Multiple cross-site request forgery (CSRF) vulnerabilities in Drupal 5.x before 5.10 and 6.x before 6.4 allow remote attackers to hijack the authentication of administrators for requests that (1) add or (2) delete user access rules.
Multiple cross-site scripting (XSS) vulnerabilities in Drupal 6.x before 6.3 allow remote attackers to inject arbitrary web script or HTML via vectors related to (1) free tagging taxonomy terms, which are not properly handled on node preview pages, and (2) unspecified OpenID values.
Cross-site request forgery (CSRF) vulnerability in Drupal 5.x before 5.8 and 6.x before 6.3 allows remote attackers to perform administrative actions via vectors involving deletion of "translated strings."
Cross-site request forgery (CSRF) vulnerability in Drupal 6.x before 6.3 allows remote attackers to perform administrative actions via vectors involving deletion of OpenID identities.
Session fixation vulnerability in Drupal 5.x before 5.9 and 6.x before 6.3, when contributed modules "terminate the current request during a login event," allows remote attackers to hijack web sessions via unknown vectors.
SQL injection vulnerability in the Schema API in Drupal 6.x before 6.3 allows remote attackers to execute arbitrary SQL commands via vectors related to "an inappropriate placeholder for 'numeric' fields."
N/A
Asianux Server 3 for x86
- drupal-6.4-1AXS3.noarch.rpm
MD5: 0121909e7e9d2819384306ca20267937
SHA-256: 81a3b1ab236ada148c1a0d37fc035caf590c70d225a1a347896e3eabb3ce9c4e
Size: 1.88 MB
Asianux Server 3 for x86_64
- drupal-6.4-1AXS3.noarch.rpm
MD5: 01f073f81b133597b7dca0ce1864fbff
SHA-256: 455bb43acdc31b2ced3d001c1ea18e43853f6ecdff6122d6f796791e08aedb74
Size: 1.88 MB