Scoutnet vzw http://forum.scoutnet.be/ |
|
[Drupal] Security announcements: Acidfree - SQL injection http://forum.scoutnet.be/viewtopic.php?f=19&t=1753 |
Pagina 1 van 1 |
Auteur: | Sifaka-Scouts-Alken [ 23 Jan 2007 22:47 ] |
Titel: | [Drupal] Security announcements: Acidfree - SQL injection |
------------ACIDFREE - SQL INJECTION------------ * Advisory ID: DRUPAL-SA-2007-003. * Project: Acidfree (third-party module). * Version: 4.6.x, 4.7.x * Date: 2007-Jan-23. * Security risk: Highly critical. * Exploitable from: Remote. * Vulnerability: SQL Injection. ------------DESCRIPTION------------ Under certain circumstances, node titles are not escaped before being used in an SQL query, allowing a malicious user with the 'create acidfree albums' privilege and the ability to create acidfree content, to execute an SQL injection attack. These attacks may lead to administrator access. ------------VERSIONS AFFECTED------------ All versions before * Acidfree 4.6.x-1.0. * Acidfree 4.7.x-1.0. Drupal core is not affected. If you do not use the contributed Acidfree module, there is nothing you need to do. ------------SOLUTION------------ Install the latest version: * Acidfree 4.6.x-1.0 [http://drupal.org/node/112026]. * Acidfree 4.7.x-1.0 [http://drupal.org/node/112023]. See also the Acidfree project page [http://drupal.org/project/acidfree]. ------------REPORTED BY------------ Brett Yagel (yagel). ------------CONTACT------------ The security contact for Drupal can be reached at security at drupal.org or via the form at [http://drupal.org/contact]. ----------------------------------------------------------------------------- deze module gebruik ik wel, wel de 4.7.x-1.x-dev-versie en niet de 4.7.0-versie maar toch weer eens tijd om voor de zekerheid te updaten (al had ik dit een paar weken geleden voor deze module ook al eens gedaan) wel laat ik anonieme gebruikers natuurlijk geen afbeeldingen uploaden of wijzigingen (ondanks dat dit mogelijk is) waardoor deze nergens user-input heeft en dus via userinput geen sql kan geïnjecteerd worden maar het is natuurlijk goed dat drupal zijn Security announcements nogal angstaanjagend opstelt |
Pagina 1 van 1 | Alle tijden zijn UTC + 1 uur |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |