English | Deutsch | Español | Português
 Benutzerkennung:
 Passwort:
Registrieren
 About:   Dediziert  | Erweitert  | Standard  | Wiederkehrend  | Risikolos  | Desktop  | Basis  | Einmalig  | Sicherheits Siegel  | FAQ
  Preis/Funktionszusammenfassung  | Bestellen  | Neue Anfälligkeiten  | Vertraulichkeit  | Anfälligkeiten Suche
 Anfälligkeitssuche        Suche in 150599 CVE Beschreibungen
und 73533 Test Beschreibungen,
Zugriff auf 10,000+ Quellverweise.
Tests   CVE   Alle  

--------------------------------------------------------------------------------
Fedora Update Notification
FEDORA-2009-6049
2009-06-15 21:59:30
--------------------------------------------------------------------------------

Name        : drupal-views
Product     : Fedora 11
Version     : 6.x.2.6
Release     : 1.fc11
URL         : http://drupal.org/project/views
Summary     : Provides a method for site designers to control content presentation
Description :
The views module provides a flexible method for Drupal site designers
to control how lists of content (nodes) are presented. Traditionally,
Drupal has hard-coded most of this, particularly in how taxonomy and
tracker lists are formatted.

This tool is essentially a smart query builder that, given enough
information, can build the proper query, execute it, and display the
results. It has four modes, plus a special mode, and provides an
impressive amount of functionality from these modes.

--------------------------------------------------------------------------------
Update Information:

 * Advisory ID: DRUPAL-SA-CONTRIB-2009-037 [0]   * Project: Views   * Versions:
6.x-2.x   * Date: 2009-June-10   * Security risk: Moderately critical   *
Exploitable from: Remote   * Vulnerability: Cross Site Scripting (XSS), Access
Bypass    -------- DESCRIPTION
---------------------------------------------------------    The Views module
provides a flexible method for Drupal site designers to  control how lists of
content are presented. In the Views UI administrative  interface when
configuring exposed filters, user input presented as possible  exposed filters
is not correctly filtered, potentially allowing malicious  users to insert
arbitrary HTML and script code into these pages. In addition,  content entered
by users with 'administer views' permission into the View  name when defining
custom views is subsequently displayed without being  filtered. Such cross site
scripting [1] (XSS) attacks may lead to a malicious  user gaining full
administrative access. An access bypass may exist where  unpublished content
owned by the anonymous user (e.g. content created by a  user whose account was
later deleted) is visible to any anonymous user there  is a view already
configured to show it incorrectly. An additional access  bypass may occur
because Views may generate queries which disrespect node  access control. Users
may be able to access private content if they have  permission to see the
resulting View.  -------- VERSIONS AFFECTED
---------------------------------------------------     * Versions of Views for
Drupal 6.x prior to 6.x-2.6    Drupal core is not affected. If you do not use
the Views module, there is  nothing you need to do.  -------- SOLUTION
------------------------------------------------------------    Install the
latest version.   * If you use Views for Drupal 6.x upgrade to 6.x-2.6 [2]    In
addition, preventing the node access bypass may require adding *node:  access
filters* to the View manually if using relationships to nodes that  might be
restricted. Also see the Views project page [3].  -------- REPORTED BY
---------------------------------------------------------     * The exposed
filters XSS was reported by Derek Wright (dww [4]) of the     Drupal Security
Team [5]   * The XSS from the view name was reported by Justin Klein Keane
(Justin_KleinKeane [6])   * The unpublished content access bypass was reported
by Brandon Bergren     (bdragon [7])   * The node access query bypass was
reported by Moshe Weitzman (moshe     weitzman [8]) of the Drupal Security Team
[9]    -------- FIXED BY
------------------------------------------------------------    Earl Miles
(merlinofchaos [10]) Views project maintainer.  -------- CONTACT
-------------------------------------------------------------    The security
contact for Drupal can be reached at security at drupal.org or  via the form at
http://drupal.org/contact and by selecting the security  issues category.    [0]
http://drupal.org/node/488068  [1] http://en.wikipedia.org/wiki/Cross-
site_scripting  [2] http://drupal.org/node/488082  [3]
http://drupal.org/project/views  [4] http://drupal.org/user/46549  [5]
http://drupal.org/security-team  [6] http://drupal.org/user/302225  [7]
http://drupal.org/user/53081  [8] http://drupal.org/user/23  [9]
http://drupal.org/security-team  [10] http://drupal.org/user/26979
--------------------------------------------------------------------------------
ChangeLog:

* Thu Jun 11 2009 Jon Ciesla <limb@jcomserv.net> - 6.x.2.6-1
- New upstream, fixes SA-CONTRIB-2009-037.
--------------------------------------------------------------------------------

This update can be installed with the "yum" update program.  Use 
su -c 'yum update drupal-views' at the command line.
For more information, refer to "Managing Software with yum",
available at http://docs.fedoraproject.org/yum/.

All packages are signed with the Fedora Project GPG key.  More details on the
GPG keys used by the Fedora Project can be found at
http://fedoraproject.org/keys
--------------------------------------------------------------------------------

_______________________________________________
Fedora-package-announce mailing list
Fedora-package-announce@redhat.com
http://www.redhat.com/mailman/listinfo/fedora-package-announce

Registrierung eines neuen Benutzers
Email:
Benutzerkennung:
Passwort:
Bitte schicken Sie mir den monatlichen Newsletter, der mich über die neuesten Services, Verbesserungen und Umfragen informiert.
Bitte schicken Sie mir eine Anfälligkeitstest Benachrichtigung, wenn ein neuer Test hinzugefügt wird.
   Datenschutz
Anmeldung für registrierte Benutzer
 
Benutzerkennung:   
Passwort:  

 Benutzerkennung oder Passwort vergessen?
Email/Benutzerkennung:




Startseite | Über uns | Kontakt | Partnerprogramme | Developer APIs | Datenschutz | Mailinglisten | Missbrauch
Sicherheits Überprüfungen | Verwaltete DNS | Netzwerk Überwachung | Webseiten Analysator | Internet Recherche Berichte
Web Sonde

© 1998-2019 E-Soft Inc. Alle Rechte vorbehalten.