path: root/japanese/security/2010/dsa-2016.wml

#use wml::debian::translation-check translation="acc32211ad0ee4813745fc98bba7daa0befd9e8d"
<define-tag description>複数の脆弱性</define-tag>
<define-tag moreinfo>

<p>多機能コンテンツ管理フレームワーク drupal6 に複数の欠陥が発見されました
(SA-CORE-2010-001)。</p>

<h3>インストール時のクロスサイトスクリプティング攻撃</h3>

<p>インストール時、ユーザの提供した値が直接出力されるため、悪意を持ったユ
ーザが URL を細工してクロスサイトスクリプティング攻撃を実行可能です。こ
の攻撃は未インストールのサイトでのみ実行可能です。</p>

<h3>オープンリダイレクション</h3>

<p>drupal_goto() API 関数がフィッシング攻撃を許します。このため、攻撃者は
Drupal サイトを任意のサイトに転送する攻撃が可能です。但し、ユーザの送っ
たデータは転送されません。</p>

<h3>ローカルモジュールのクロスサイトスクリプティング</h3>

<p>ロカールモジュールとそれに依存する contribute モジュールが表示される言語
コード (原語と英語での名称) をサニタイズしていません。これらは通常事前に
選定されたリスト由来ですが、管理者からの任意の入力も可能です。
この欠陥の影響は、攻撃者が 'administer languages' 特権を持っている必要が
あるため、大きくはありません。</p>

<h3>ブロックされたユーザのセッションの再生</h3>

<p>特定の条件下で、セッションを開いているブロックされたユーザが、ブロックさ
れているにもかかわらず drupal サイトでセッションの維持が可能です。</p>

<p>安定版 (stable) ディストリビューション (lenny) では、これらの問題はバージ
ョン 6.6-3lenny5 で修正されています。</p>

<p>不安定版 (unstable) ディストリビューション (sid) では、これらの問題はバー
ジョン 6.16-1 で修正されており、近くテスト版 (testing) ディストリビュー
ション (squeeze) にも反映の予定です。</p>

<p>直ぐに drupal6 パッケージをアップグレードすることを勧めます。</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2010/dsa-2016.data"
# $Id$