Debian DLA-2458-1: drupal7 セキュリティ更新

high Nessus プラグイン ID 143138

Language:

概要

リモートの Debian ホストにセキュリティ更新プログラムがありません。

説明

完全な機能を持つコンテンツ管理フレームワークである Drupal で、2 つの脆弱性が発見されました。

CVE-2020-13666

Drupal AJAX APIは、デフォルトでJSONPを無効にしませんでした。これにより、クロスサイトスクリプティングが引き起こされる可能性があります。

JSONPリクエストに対してDrupalのAJAX APIに依存するセットアップでは、JSONPを再度有効にするか、jQuery AJAX APIを代わりに使用する必要があります。

詳細は、upstreamアドバイザリを参照してください。
https://www.drupal.org/sa-core-2020-007

CVE-2020-13671

Drupalがアップロードされたファイルのファイル名のサニタイズに失敗したため、これらのファイルが間違ったMIMEタイプとして提供されたり、サーバー構成によっては実行されたりする可能性があります。

以前にアップロードしたファイルに悪意のある拡張子があるかどうかをチェックすることも推奨されます。詳細は、upstreamアドバイザリを参照してください: https://www.drupal.org/sa-core-2020-012

Debian 9「Stretch」では、これらの問題はバージョン7.52-2+deb9u12で修正されています。

お使いのdrupal7パッケージをアップグレードすることを推奨します。

drupal7の詳細なセキュリティステータスについては、そのセキュリティトラッカーページを参照してください:
https://security-tracker.debian.org/tracker/drupal7

注: Tenable Network Securityは、前述の記述ブロックを DLA セキュリティアドバイザリから直接抽出しています。Tenableでは、新たな問題を持ち込まずに、できる限り自動的に整理して書式設定するようにしています。