Összefoglaló 2015-09-01

Több sérülékenységet javítottak a Drupalban

2015-08-19

Drupal Core Multiple Vulnerabilities - SA-CORE-2015-003

A Drupal több sérülékenységét javító biztonsági frissítést tettek közé. A frissítés kritikus besorolást kapott. A javított sérülékenységek az alábbiak:

  • Cross-site Scripting (Ajax system - Drupal 7): CVE-2015-6665

  • Cross-site Scripting (Autocomplete system - Drupal 6 and 7): CVE-2015-6658

  • SQL Injection (Database API - Drupal 7): CVE-2015-6659

  • Cross-site Request Forgery (Form API - Drupal 6 and 7): CVE-2015-6660

  • Information Disclosure in Menu Links (Access system - Drupal 6 and 7): CVE-2015-6661

Az érintett verziók:

Drupal core 6.x verziók a 6.37-t megelőzően

Drupal core 7.x verziók a 7.39-t megelőzően

Javasolt a legfrissebb verzió telepítése (Drupal core 6.37, Drupal core 7.39).

További információk találhatók, az alábbi linkeken:

https://www.drupal.org/SA-CORE-2015-003

http://tech.cert-hungary.hu/vulnerabilities/CH-12542

 

Open SSH sérülékenységek

2015-08-24

Több OpenSSH hibára derült fény.

Ezek kötül az egyik fenyegetési szintje magas besorolású (CVE-2015-6565). Ezt a sérülékenységet kihasználva a támadók szolgáltatás megtagadást idézhetnek elő. Az OpenSSH 6.8/6.9 verzióban lévő sshd komponens bemeneti adatainak manipulálásával lehet a sérülékenységet kiaknázni.

A másik két sérülékenység alacsonyabb besorolású, melyekkel

a támadók kiterjesztett jogosultságokat szerezhetnek. Az egyikben ((CVE-2015-6564), mely a nem-BSD 7.0-t megelőző verziókaz érinti, a monitor.c fájlban található mm_answer_pam_free_ctx függvény use-after-free típusú hibája okozhat jogosultság kiterjesztést. A másikban (CVE-2015-6563), mely a nem BSD 6.x verziókat érinti, szintén az sshd komponenshez tartozó monitor.c fájlbeli függvényben található sérülékenység, melyjogosultság kiterjesztést eredményezhet.

További információk találhatók, az alábbi linkeken:

http://tech.cert-hungary.hu/vulnerabilities/CH-12546

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6565

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6565

https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-6565