更新版本:
Drupal 6.x, 7.x
時間:
2013-11-20
說明:
修補 Multiple vulnerabilities
更新項目:
- Multiple vulnerabilities due to optimistic cross-site request forgery protection (Form API validation - Drupal 6 and 7)
Drupal 表格API可以 引發CSRF 的偽裝驗證,在任何模組下可執行自己的驗證形式,所以在某種情況下表單驗證功能可能會執行不安全的操作,會跳過CSRF驗證造成失敗,Druapl核心 表單API驗證會在此本版有所改變。
- Multiple vulnerabilities due to weakness in pseudorandom number generation using mt_rand() (Form API, OpenID and random password generation - Drupal 6 and 7)
Drupal 核心 直接使用 mt_rand() 隨機亂數產生器與安全相關的string,用於在幾個核心模組,在暴力工具下可確定亂數種子,在某種情況下是可預知的。
此功能在安全更新以前都將影響所以Drupal網站。
- Code execution prevention (Files directory .htaccess for Apache - Drupal 6 and 7)
Drupal 核心嘗試增加一個 深度防禦的保護於.htaccess的檔案內,來要求停止執行PHP腳本,在Apache web server。
這樣的保護是必要的,如果有一個漏洞網站或是server允許用戶上傳惡意文件,在.htaccess文件並沒有配置並阻止code執行。
此版本包括新的配置,以防止一些常見的Apache配置PHP執行,如果正在執行升級網站,該網站是由apache運作,必須手動修改檔案,由"解決方案"一節中詳細描述
- Access bypass (Security token validation - Drupal 6 and 7)
一個function drupal_valid_token()會返回一個TRUE 且無效的 tokens,如果調用此方法沒有確定是該token是string。
- Cross-site scripting (Image module - Drupal 7)
圖像字段說明,沒有正確的過濾掉會打印出HTML,會造成XSS的漏洞產生。
此漏洞,攻擊者必須擁有一個管理權限的字段說明,例如"administer taxonomy"權限來編輯字段 taxonomy terms的事實。
- Cross-site scripting (Color module - Drupal 7)
在color module 的XSS被發現,攻擊者可以欺騙一個身分驗證的管理用戶訪問一個頁面,其中包含特定的javascript可能會導致反射XSS scripting attack,可以於CSS通過並執行javascript 執行。
此漏洞發生於特定的舊版瀏覽器,並且受限於現代的瀏覽器...。
- Open redirect (Overlay module - Drupal 7)
在Overlay module 顯示當前頁面之上層(使用JavaScript)的管理頁面,而不是更換頁面的瀏覽視窗,Overlay module沒有充分驗證先前的URL顯示的內容,會導致一個開方重新導向的漏洞
此漏洞影響的是,利用有"Access the administrative overlay"權限的網站用戶
影響版本:
Drupal 6.29 , Drupal 7.24之前版本
解決方案:
此本版更新需要注意,"code execution prevention"配置
為解決現有"code execution parevention",在網站狀態會顯示錯誤訊息的問題,直到完成配置,請注意,如果使用的是不同的service 例如nginx。.htaccess 文件沒有效果,必須自行配置PHP執行保護在service設定文件。
要解決此問題,必須要手動編輯或是取代舊的.htaccess文件,.htaccess 會在 public files directory and temporary files directory,和 private files directory(這是drupal 7擁有,如果有配置的話)
要確定文件位置查看網站狀態的錯誤訊息,或是訪問admin/settings/file-system (Drupal 6)、admin/config/media/file-system (Drupal 7)。
於你的server上到每個目錄自行更換或是創建.htaccess文件,或者是利用系統的配置頁面(drupal 6 admin/settings/file-system),(drupal 7 admin/config/media/file-system)點擊保存按鈕,讓Drupal 自動建立文件
推薦的 .htaccess文件內容如下
drupal 6
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
# PHP 4, Apache 1.
<IfModule mod_php4.c>
php_flag engine off
</IfModule>
# PHP 4, Apache 2.
<IfModule sapi_apache2.c>
php_flag engine off
</IfModule>
drupal 7
# Turn off all options we don't need.
Options None
Options +FollowSymLinks
# Set the catch-all handler to prevent scripts from being executed.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2006_006
<Files *>
# Override the handler again if we're run later in the evaluation list.
SetHandler Drupal_Security_Do_Not_Remove_See_SA_2013_003
</Files>
# If we know how to do it safely, disable the PHP engine entirely.
<IfModule mod_php5.c>
php_flag engine off
</IfModule>
詳細說明: