Drupal 7.38 和 Drupal 6.36 安全更新
Drupal中国公告:2015年6月17日 下午 6:45 (美国东部时间)在Drupal官网发布公告,Drupal 7.38 和 Drupal 6.36 发布。
此版本修复了多个容易受到攻击的安全问题,强烈推荐各位站长阅读完此通知后及时更新此版本。
Drupal官网公告中介绍:
- 身份模拟 (OpenID 模块 - Drupal 6 和 7 - 危险等级 4/5) 在OpenID 模块里发现了容易被攻击的漏洞, 漏洞允许恶意用户像正常用户一样登录,管理员也同意容易被劫持. 此漏洞的受害者是那些拥有 openid 提供的服务,包括(Versigin, LiveJournal, 或者 StackExchange)
- 网址定向 (Field UI 模块 - Drupal 7 - 危险等级 3/5) Field UI 模块在网址中使用了 "destinations" 指令, 当管理界面完成某个动作时会将用户重定向到新的目的地. 用户可以使用此参数自己建立网址, 此网址将误导用户进入指定(第三方)连接. --此漏洞只对开启了 Field UI 模块的用户!--
- 网址定向 (Overlay 模块 - Drupal 7 - 危险等级 3/5) 此模块用来在当前页面显示管理界面. Overlay 模块没有充分验证网址来显示其内容, 导致网址可被利用重定向到第三方网站.
- 信息泄露 (Render cache 系统 - Drupal 7 - 危险等级 3/5) 注册用户可以利用 Drupal 7 render cache system, 隐私的内容会被暴漏给没有权利的用户查看. Drupal 7 本身没有启用 render caching (要求用户自定义代码 或 开启Render Cache).
影响的版本:
Drupal 6.x
Drupal 7.x
解决方案:
Drupal 6.x 请升级到 6.36
Drupal 7.x 请升级到 7.38
本次更新包括:
以上4条介绍分别对应下面的4条 Impersonation (OpenID 模块 - Drupal 6 and 7): CVE-2015-3234 Open redirect (Field UI 模块 - Drupal 7): CVE-2015-3232 Open redirect (Overlay 模块 - Drupal 7: CVE-2015-3233 Information disclosure (Render cache system - Drupal 7): CVE-2015-3231
修改日志:
下载Drupal:
文章分类