Fedora 12:drupal-cck-6.x.2.7-1.fc12(2010-10176)
medium Nessus プラグイン ID 47212
Language:
概要
リモート Fedora ホストに、セキュリティ更新がありません。説明
- アドバイザリ ID:DRUPAL-SA-CONTRIB-2010-065 (http://drupal.org/node/829566) * プロジェクト:Content Construction Kit(CCK)(サードパーティモジュール) * バージョン:5.x、6.x * 日付:2010 年 6 月 16 日 * セキュリティリスク:重大性低 * 悪用可能元:リモート * 脆弱性:
アクセスバイパス -------- 説明
-------------------------------------------------------- -
Content Construction Kit(CCK)プロジェクトはモジュールのセットであり、Web ブラウザを使用してカスタムフィールドをノードに追加できます。CCK「Node Reference」モジュールを設定して、参照されているノードを非表示、タイトル、ティーザー、あるいはフルビューとして表示することができます。ノードへのアクセスが、これらを表示する際にチェックされないので、管理されているノードのビューアクセスが権限のないユーザーに露出することがあります。さらに、ノード参照は、ユーザーが参照できるノードを差が探すための「autocomplete」ウィジェットによって要求される非同期リクエストで使用されるバックエンドの URL を提供します。これは、ユーザーにソースフィールドへのフィールドレベルのアクセスがあるかチェックしないので、バックエンド URL への直接の照会が可能になり、他の方法ではユーザーがアクセスできないノードのタイトルおよび ID が返されます。注意:Drupal 5 CCK にはフィールドアクセスコントロール機能がないので、この問題は Drupal 6 バージョンだけに当てはまります。
-------- 影響を受けるバージョン
--------------------------------------------------- * 5.x-1.11 以前の Drupal 5.x バージョンの Content Construction Kit(CCK)モジュール * 6.x-2.7 以前の Drupal 6.x バージョンの Content Construction Kit(CCK)モジュール Drupal コアは影響を受けません。提供された Content Construction Kit(CCK)[1] モジュールを、何らかのノードまたはフィールドアクセスモジュールとともに使用しない場合は、必要な作業はありません。 -------- ソリューション
-------------------------------------------------------- ----
最新バージョンをインストールしてください:* Drupal 5.x 用の Content Construction Kit(CCK)モジュールを使用する場合は、Content Construction Kit(CCK)5.x-1.11 [2] にアップグレードしてください * Drupal 6.x 用の Content Construction Kit(CCK)モジュールを使用する場合は、Content Construction Kit(CCK)6.x-2.7 [3] にアップグレードしてください Content Construction Kit(CCK)プロジェクトページ [4] も参照してください。-------- 報告者 --------------------------------------------------------
- * recrit [5] * Marc Ferran 氏(markus_petrux)[6]、モジュール共同メンテナンス者 -------- 修正者
--------------------------------------------------------
---- * Yves Chedemois 氏(yched)[7]、モジュール共同メンテナンス者
* Marc Ferran 氏(markus_petrux)[8]、モジュール共同メンテナンス者
* Karen Stevenson 氏(KarenS)[9]、モジュール共同メンテナンス者
-------- 連絡先
--------------------------------------------------------
----- drupal.org のセキュリティまたは http://drupal.org/contact のフォームを経由して、Drupal セキュリティチーム [10] へ連絡してください。* [1] http://drupal.org/project/cck * [2] http://drupal.org/node/828986 * [3] http://drupal.org/node/828988 * [4] http://drupal.org/project/cck * [5] http://drupal.org/user/452914 * [6] http://drupal.org/user/39593 * [7] http://drupal.org/user/39567 * [8] http://drupal.org/user/39593 * [9] http://drupal.org/user/45874 * [10] http://drupal.org/security-team
注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。
ソリューション
影響を受ける drupal-cck パッケージを更新してください。参考資料
プラグインの詳細
深刻度: Medium
ID: 47212
ファイル名: fedora_2010-10176.nasl
バージョン: 1.11
タイプ: local
エージェント: unix
ファミリー: Fedora Local Security Checks
公開日: 2010/7/1
更新日: 2021/1/11
サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
リスク情報
VPR
リスクファクター: Low
スコア: 3.6
CVSS v2
リスクファクター: Medium
基本値: 5
ベクトル: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
脆弱性情報
CPE: p-cpe:/a:fedoraproject:fedora:drupal-cck, cpe:/o:fedoraproject:fedora:12
必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list
パッチ公開日: 2010/6/21
脆弱性公開日: 2010/6/21
参照情報
CVE: CVE-2010-2352, CVE-2010-2353
FEDORA: 2010-10176