Fecha del reporte: 13 de mar de 2010

Paquetes afectados: drupal6

Más información: Múltiples vulnerabilidades (SA-CORE-2010-001) han sido descubiertas en drupal6, un completo framework de gestión de contenidos.

* cross site scripting de la instalación: Un valor proporcionado por el usuario es mostrado directamente durante la instalación permitiendo a usuarios maliciosos elaborar un URL y realizar un ataque cross-site scripting. Este fallo solo puede ser explotado en sitios aún no instalados.

* Redirección abierta: La función API drupal_goto() es susceptible a un ataque de pishing. Un atacante puede formular una redirección en un sentido que hace al sitio Drupal enviar al usuario a una URL arbitraria provista. Ninguna información de usuario será enviada a esa URL.

* cross site scripting en el módulo locale: El módulo locale módulos contribuidos que dependan de él no sanean la impresión de códigos de lenguaje nativo e Inglés debidamente. Aunque estos suele venir de una lista pre-seleccionada, la entrada arbitraria de un administrador está permitida. Esta vulnerabilidad es mitigada por el hecho de que el atacante debe poseer un rol con el permiso 'administer languages'.

* Regeneración de sesión de usuarios bloqueados: Bajo ciertas circunstancias, un usuario con una sesión abierta que es bloqueado puede mantener su sesión en el sitio Drupal, a pesar de estar bloqueado.

Para la distribución estable (lenny), estos problemas han sido arreglados en la versión 6.6-3lenny5.

Para la distribución inestable (sid), estos problemas han sido arreglados en la versión 6.16-1, y serán migrados a la distribución de pruebas (squeeze) pronto.

Le recomendamos actualizar su paquete drupal6.

Original (en inglés): http://lists.debian.org/debian-security-announce/2010/msg00055.html