跳转到主要内容

Drupal 7.38 和 Drupal 6.36 安全更新

Drupal中国公告:2015年6月17日 下午 6:45 (美国东部时间)在Drupal官网发布公告,Drupal 7.38 和 Drupal 6.36 发布。

此版本修复了多个容易受到攻击的安全问题,强烈推荐各位站长阅读完此通知后及时更新此版本。

Drupal官网公告中介绍:

  1. 身份模拟 (OpenID 模块 - Drupal 6 和 7 - 危险等级 4/5)     在OpenID 模块里发现了容易被攻击的漏洞, 漏洞允许恶意用户像正常用户一样登录,管理员也同意容易被劫持. 此漏洞的受害者是那些拥有 openid 提供的服务,包括(Versigin, LiveJournal, 或者 StackExchange)
  2. 网址定向 (Field UI 模块 - Drupal 7 - 危险等级 3/5)     Field UI 模块在网址中使用了 "destinations" 指令, 当管理界面完成某个动作时会将用户重定向到新的目的地. 用户可以使用此参数自己建立网址, 此网址将误导用户进入指定(第三方)连接. --此漏洞只对开启了 Field UI 模块的用户!--
  3. 网址定向 (Overlay 模块 - Drupal 7 - 危险等级 3/5)     此模块用来在当前页面显示管理界面. Overlay 模块没有充分验证网址来显示其内容, 导致网址可被利用重定向到第三方网站.
  4. 信息泄露 (Render cache 系统 - Drupal 7 - 危险等级 3/5)     注册用户可以利用 Drupal 7 render cache system, 隐私的内容会被暴漏给没有权利的用户查看. Drupal 7 本身没有启用 render caching (要求用户自定义代码 或 开启Render Cache).

影响的版本:

        Drupal 6.x

        Drupal 7.x

解决方案:

        Drupal 6.x 请升级到 6.36

        Drupal 7.x 请升级到 7.38

本次更新包括:

以上4条介绍分别对应下面的4条         Impersonation (OpenID 模块 - Drupal 6 and 7): CVE-2015-3234         Open redirect (Field UI 模块 - Drupal 7): CVE-2015-3232         Open redirect (Overlay 模块 - Drupal 7: CVE-2015-3233         Information disclosure (Render cache system - Drupal 7): CVE-2015-3231

修改日志:

Drupal 7.38 release notes

Drupal 6.36 release notes

下载Drupal:

下载 Drupal 7.38

下载 Drupal 6.36

文章分类