検出

Fedora 13:drupal-views-6.x.2.11-1.fc13(2010-10215)

high Nessus プラグイン ID 47215

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

- アドバイザリ ID:DRUPAL-SA-CONTRIB-2010-067 (http://drupal.org/node/829840)* プロジェクト:Views(サードパーティモジュール)* バージョン:5.x、6.x * 日付:2010 年 6 月 16 日 * セキュリティリスク:重大性低 * 悪用可能元:リモート

複数の脆弱性 -------- 説明
--------------------------------------------------------
- ビューモジュールは Drupal 設計者に対して、表示されるコンテンツのリストとテーブルをコントロールする柔軟な方法を提供します。-------- クロスサイトリクエスト偽造(CSRF)----------------------------------- ビューに含まれているビュー UI モジュールを使用して、特定のページへのリンク(例、
admin/build/views/disable/frontpage)に従ってビューを有効/無効にすることができます。フォームトークンなどの保護が、これらのページへの偽のリクエストを防ぐために配置されていないので、機能はクロスサイト偽造(CSRF [1])に対する脆弱性により、攻撃者はサイトで全てのビューを有効/無効にすることができます。
 緩和要因:Views UI モジュールが無効な場合、 Views はこの脆弱性による影響を受けません。この問題は、 Drupal 5 および Drupal 6 のビューに影響します。-------- クロスサイトスクリプティング(XSS)
------------------------------------------ 特定の状況で、ビューは URL またはアグリゲーターのフィードタイトルをエスケープなしで表示できるため、結果としてクロスサイトスクリプティング(XSS [2])脆弱性が発生します。攻撃者はこの脆弱性を悪用して、完全に管理アクセスを得ることができます。この問題は、 Drupal 6 のビューだけに影響します。-------- 影響を受けるバージョン
--------------------------------------------------- * 5.x-1.8 以前の Drupal 5.x バージョンのビューモジュール * 6.x-2.11 以前の Drupal 6.x バージョンのビューモジュール Drupal コアは影響を受けません。提供された Views [3] モジュールを使用しない場合、必要な作業はありません。 -------- ソリューション
--------------------------------------------------------
---- 最新バージョンをインストールしてください:* Drupal 5.x 用の Views モジュールを使用する場合は、Views 5.x-1.8 [4] にアップグレードしてください。* Drupal 6.x 用の Views モジュールを使用する場合は、Views 6.x-2.11 [5] にアップグレードしてください。Views プロジェクトページ [6] も参照してください。
 -------- 報告者
--------------------------------------------------------
- * クロスサイトリクエスト偽造(CSRF)脆弱性は、Martin Barbella 氏が報告しました(mbarbella [7])。* クロスサイトスクリプティング(XSS)脆弱性は、モジュールのメンテナンス者である Earl Miles 氏(merlinofchaos [8])、モジュールの共同メンテナンス者である Daniel Wehner 氏(dereine [9])が報告しました。
-------- 修正者
--------------------------------------------------------
---- * Earl Miles 氏(merlinofchaos [10])、モジュールのメンテナンス者 -------- 連絡先
--------------------------------------------------------
----- drupal.org のセキュリティまたは http://drupal.org/contact のフォームを経由して、Drupal セキュリティチーム [11] へ連絡してください。* [1] http://en.wikipedia.org/wiki/Csrf * [2] http://en.wikipedia.org/wiki/Cross-site_scripting * [3] http://drupal.org/project/views * [4] http://drupal.org/node/829848 * [5] http://drupal.org/node/829846 * [6] http://drupal.org/project/views * [7] http://drupal.org/user/633600 * [8] http://drupal.org/user/26979 * [9] http://drupal.org/user/99340 * [10] http://drupal.org/user/26979 * [11] http://drupal.org/security-team

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける drupal-views パッケージを更新してください。

参考資料

http://drupal.org/node/829840

http://drupal.org/node/829846

https://drupal.org/node/829848

https://www.drupal.org/project/views

https://en.wikipedia.org/wiki/Cross-site_scripting

https://en.wikipedia.org/wiki/Csrf

http://www.nessus.org/u?05e99613

プラグインの詳細

深刻度: High

ID: 47215

ファイル名: fedora_2010-10215.nasl

バージョン: 1.12

タイプ: local

エージェント: unix

公開日: 2010/7/1

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:drupal-views, cpe:/o:fedoraproject:fedora:13

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2010/6/21

脆弱性公開日: 2010/6/21

参照情報

FEDORA: 2010-10215