検出

Fedora 12:drupal-views-6.x.2.9-1.fc12(2010-6317)

high Nessus プラグイン ID 47429

Language:

概要

リモート Fedora ホストに、セキュリティ更新がありません。

説明

SA-CONTRIB-2010-036 - Views - 複数の脆弱性
------------------------------------------------------ * アドバイザリ ID:
[DRUPAL-SA-CONTRIB-2010-036](http://drupal.org/node/765022) * プロジェクト:
Views(サードパーティモジュール) * バージョン:5.x、6.x * 日付:2010 年 4 月 7 日 * セキュリティリスク:重大 * 悪用可能元:リモート * 脆弱性:
クロスサイトスクリプティング(XSS)、任意のコードの実行説明
----------- Views モジュールは、Drupal サイトデザイナーに、コンテンツのリストを表現する方法を柔軟にコントロールできるメソッドを提供しています。表示 URL のパラメーターを受諾して、AJAX コールバックで使用します。値はフィルター処理されなかったため、AJAX 応答により JavaScript コードの注入が可能になります。偽装された URL を訪問するよう騙されたユーザーは、ページに注入された任意のスクリプトまたは HTML にさらされることがあります。
また、[表示] モジュールは、ファイルの説明を表示する際に適切にサニタイズされないため、このファイルの説明を使用して、任意のスクリプトまたは HTML が注入される可能性があります。このようなクロスサイトスクリプティング [1](XSS)攻撃により、悪意のあるユーザーが完全な管理アクセスを得る可能性があります。このような脆弱性は、Drupal 6 バージョンにのみ影響します。ファイル説明の脆弱性は、攻撃者がファイルをアップロードする権限を持っていなければならないために緩和されます。Drupal 5 と Drupal 6 の両バージョンで、「管理者表示」権限を持つユーザーは、表示インポート機能を使用して任意の PHP コードを実行できます。「ブロック可視性で PHP を使用」権限に対する追加確認が追加され、サイト管理者が PHP を実行する権限をインポート機能のユーザーにすでに与えているかどうかを確認します。影響を受けるバージョン ----------------- * 6.x-2.9 以前の Drupal 6.x の表示のバージョン * 5.x-1.7 以前の Drupal 5.x の表示のバージョン注意 - 6.x-3.x ブランチアルファリリースも影響を受けます。寄贈された Views モジュールを使用しない場合は、何も行う必要はありません。解決策 -------- 最新バージョンをインストールしてください:* Drupal 6.x 向け Views を使用する場合は、Views 6.x-2.9 [2] またはそれ以降のバージョンにアップグレードしてください。* Drupal 6.x の表示を使用する場合、表示 5.x-1.7 [3] または以降のいずれかのバージョンにアップグレードしてください。表示 [4] プロジェクトページも参照してください。報告者 ----------- * S21Sec の Angel Lozano Alcazar 氏により報告された、AJAX パラメーター経由の XSS * Martin Barbella 氏により報告された、ファイル説明経由の XSS [5]

- Drupal セキュリティチームの Derek Wright 氏によって報告された PHP 実行(dww [6])[7] 修正者 -------- * Earl Miles 氏(merlinofchaos [8]) Views プロジェクト維持者連絡先
------- Drupal のセキュリティ連絡先には、drupal.org のセキュリティ、または http://drupal.org/contact のフォームにより連絡できます。

- [1] http://en.wikipedia.org/wiki/Cross-site_scripting * [2] http://drupal.org/node/765088 * [3] http://drupal.org/node/765090 * [4] http://drupal.org/project/views * [5] http://drupal.org/user/633600 * [6] http://drupal.org/user/46549 * [7] http://drupal.org/security-team * [8] http://drupal.org/user/26979

注意:Tenable Network Security は、前述の記述ブロックを Fedora セキュリティアドバイザリから直接抽出しています。Tenable では、できる限り新たな問題を持ち込まないように、自動的に整理して書式設定するようにしています。

ソリューション

影響を受ける drupal-views パッケージを更新してください。

参考資料

http://drupal.org/node/765022

http://drupal.org/node/765088

http://drupal.org/node/765090

https://www.drupal.org/project/views

https://en.wikipedia.org/wiki/Cross-site_scripting

http://www.nessus.org/u?dfeb81f7

プラグインの詳細

深刻度: High

ID: 47429

ファイル名: fedora_2010-6317.nasl

バージョン: 1.13

タイプ: local

エージェント: unix

公開日: 2010/7/1

更新日: 2021/1/11

サポートされているセンサー: Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

脆弱性情報

CPE: p-cpe:/a:fedoraproject:fedora:drupal-views, cpe:/o:fedoraproject:fedora:12

必要な KB アイテム: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

パッチ公開日: 2010/4/10

脆弱性公開日: 2010/4/10

参照情報

FEDORA: 2010-6317