» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 漏洞快报 » Drupal Project和Project Issue Tracking Modules不当授权   作者: 标题: Drupal Project和Project Issue Tracking Modules不当授权 pioneer 超级版主 积分 4563 发帖 4545 注册 2007-7-16 来自 BJ #1  Drupal Project和Project Issue Tracking Modules不当授权 来源 secunia.com 软件名 Drupal Project issue tracking Module 4.x Drupal Project issue tracking Module 5.x Drupal Project Module 4.x Drupal Project Module 5.x 描述 这可被恶意泄漏敏感信息和绕过特定的访问限制不正确的对"access projects", "access own projects", "access project issues"和"access own project issues"强制授权，通过Tracker Module和"Recent posts" 页面时如果这个项目或问题提示到上一个页面并且如果节点认证已知时泄漏了工程的CVX活动细节，这就会泄漏工程名和其它不确定的敏感信息。在以下产品中已经报告过：* Project module 5.x-1.0, 4.7.x-2.3,和4.7.x-1.3之前的版本 * Project issue tracking module 5.x-1.0, 4.7.x-2.4,和4.7.x-1.4之前的版本 解决方案 Drupal 4.7.x: 更新Project 4.7.x-1.* 到 version 4.7.x-1.3. http://drupal.org/node/168765 更新Project 4.7.x-2.* 到 version 4.7.x-2.3. http://drupal.org/node/168768 更新 Project issue tracking 4.7.x-1.* 到 version 4.7.x-1.4. http://drupal.org/node/168771 更新Project issue tracking 4.7.x-2.* 到 version 4.7.x-2.4. http://drupal.org/node/168772 Drupal 5.x: 更新Project 到 5.x-1.0. http://drupal.org/node/168769 更新Project issue tracking 到 5.x-1.0. http://drupal.org/node/168773 ※文章所有权归【pioneer】与【东方微点论坛】共同所有，转载请注明出处！※ 2007-8-22 09:55 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号