检测

FreeBSD:drupal -- 多种漏洞 (10720fe8-51e0-11e1-91c1-00215c6a37bb)

medium Nessus 插件 ID 57857

语言:

简介

远程 FreeBSD 主机缺少一个或多个与安全有关的更新。

描述

Drupal 开发团队报告:Aggregator 模块中存在跨站请求伪造漏洞 CVE:CVE-2012-0826

CSRF 漏洞可强制更新聚合器 feed 源。由于某些服务的速度受到限制(如 Twitter 限制为每小时请求 150 次),这可导致拒绝服务。

该问题会影响 Drupal 6.x 和 7.x。OpenID 未验证 SREG 和 AX 中的签名属性 CVE:CVE-2012-0825

一组安全研究人员在某些 OpenID 依赖方执行属性交换 (AX) 的方式中发现一个缺陷。未验证通过 AX 传递的属性是否已签名可允许攻击者修改用户的信息。

该问题会影响 Drupal 6.x 和 7.x。File 模块中的访问绕过 CVE:CVE-2012-0827

当隐私文件与某些字段访问模块一起使用时,File 模块将允许用户下载文件,即使其不具有查看所连接字段的权限。

此问题仅影响 Drupal 7.x。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?940e02be

插件详情

严重性: Medium

ID: 57857

文件名: freebsd_pkg_10720fe851e011e191c100215c6a37bb.nasl

版本: 1.7

类型: local

发布时间: 2012/2/8

最近更新时间: 2021/1/6

支持的传感器: Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.8

矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:freebsd:freebsd:drupal6, p-cpe:/a:freebsd:freebsd:drupal7, cpe:/o:freebsd:freebsd

必需的 KB 项: Host/local_checks_enabled, Host/FreeBSD/release, Host/FreeBSD/pkg_info

补丁发布日期: 2012/2/7

漏洞发布日期: 2012/2/1

参考资料信息

CVE: CVE-2012-0825, CVE-2012-0826, CVE-2012-0827