From security em unicamp.br Thu Nov 3 15:46:37 2016 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 3 Nov 2016 15:46:37 -0200 Subject: [SECURITY-L] *** IMPORTANTE: CAIS-Alerta: Vulnerabilidade Bind 9 Message-ID: <20161103174637.GA1765@unicamp.br> ----- Forwarded message from CAIS/RNP Alerta ----- Date: Thu, 3 Nov 2016 14:58:48 -0200 (BRST) From: CAIS/RNP Alerta To: rnp-alerta em cais.rnp.br Subject: CAIS-Alerta: Vulnerabilidade Bind 9 Prezados, O CAIS alerta para uma vulnerabilidade recente envolvendo o servidor de nomes (DNS) Bind9. Ate o momento da publicacao deste alerta, nao foram divulgados codigos de exploracao para a vulnerabilidade listada; porem, a consulta que pode desencadear o problema ja foi debatida em listas de discussao publicas. Descricao Um defeito no tratamento do Bind nas respostas recursivas que contenham um registro DNAME, pode causar o termino do daemon apos encontrar uma falha, causando indisponibilidade (negacao de servico / DoS) para os clientes. Um atacante remoto pode explorar esta vulnerabilidade sem nenhuma autenticacao. Sistemas impactados Sistemas utilizando o Bind9 em versoes 9.9.x anteriores a 9.9.9-P4, versoes 9.10.x anteriores a 9.10.4-P4, e versoes 9.11.x anteriores a 9.11.0-P1 Versoes afetadas Versoes anteriores a 9.9.9-P4, 9.10.4-P4 e 9.11.0-P1 Correcoes disponiveis Atualizar a versao do Bind para a versao mais recente disponibilizada pelos desenvolvedores (9.9.9-P4, 9.10.4-P4 e 9.11.0-P1 no momento da publicacao deste alerta) ou a versao mais recente recomendada de acordo com o sistema operacional em uso. É recomendada a reinicializacao do servico apos a atualizacao. Identificadores CVE (http://cve.mitre.org) CVE-2016-8864 Mais informacoes https://kb.isc.org/article/AA-01434 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8864 https://www.debian.org/security/2016/dsa-3703 https://www.ubuntu.com/usn/usn-3119-1/ https://access.redhat.com/security/cve/cve-2016-8864 https://www.suse.com/security/cve/CVE-2016-8864.html http://www.securityfocus.com/bid/94067 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os alertas do CAIS tambem sao oferecidos no Twitter: Siga @caisrnp Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ ----- End forwarded message ----- From security em unicamp.br Thu Nov 10 16:09:45 2016 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 10 Nov 2016 16:09:45 -0200 Subject: [SECURITY-L] =?iso-8859-1?q?DISI_2016_-_Seguran=E7a_e_Internet_da?= =?iso-8859-1?q?s_Coisas_podem_conviver=3F?= Message-ID: <20161110180945.GA6359@unicamp.br> ----- Forwarded message from Yuri Alexandro ----- Date: Wed, 9 Nov 2016 15:11:13 -0200 (BRST) From: Yuri Alexandro To: EnCSIRTs Subject: [Encsirts] DISI 2016 - Segurança e Internet das Coisas podem conviver? Prezados, Para conhecimento e divulgação interna nas Vossas Instituições. Prezados, A Rede Nacional de Ensino e Pesquisa (RNP), através do Centro de Atendimento a Incidentes de Segurança (CAIS), está organizando a 11ª edição do Dia Internacional de Segurança em Informática (DISI). Mais uma vez contaremos com a importante parceria da RedCLARA (Cooperação Latinoamericana de Redes Avançadas) e da OEA (Organização dos Estados Americanos). Ambas organizações promovem ações estruturadas para disseminar a cultura de segurança nos paises que as conformam - a primeira a nível de redes acadêmicas nacionais latino-americanas, a segunda nível governamental. O evento, que será realizado no dia 11 de novembro, no Instituto Federal de Brasília (IFB), na capital federal, tem como objetivo educar e conscientizar os usuários a respeito de segurança na Internet e outros ambientes informatizados. O tema desta edição será "Segurança e Internet das Coisas podem realmente conviver?". Internet das Coisas (IoT, do inglês Internet of Things) já é uma realidade que conecta uma infinidade de equipamentos e dispositivos eletrônicos à Internet e com a possibilidade de estarem interconectados entre si pela nuvem ou datacenters, tais como smartphones, tablets, automóveis, câmeras de segurança, TVs, máquinas de fazer café, geladeiras, dentre muitos outros. Mas o outro lado dessa infinita possibilidade de conexões é o risco referente à segurança de determinadas informações, atentando em muitos casos contra a privacidade dos dados. Este será o foco da edição do DISI neste ano. Convidamos a sua instituição para participar ativamente deste evento! A lista das palestras e palestrantes pode ser conferida no link http://disi.rnp.br/programacao. Para aquelas instituições do Distrito Federal, os participantes podem assistir gratuita e presencialmente o DISI no IFB, fazendo a inscrição no link http://disi.rnp.br/inscricao. Para outras instituições do Brasil e da América Latina, não é necessário inscrição e os participantes podem acompanhar ao vivo pelo link http://disi.rnp.br/assista-ao-vivo. Gostaríamos de contar com o apoio de sua instituição nesse evento tão relevante para a conscientização sobre segurança da informação no ambiente acadêmico e governamental, divulgando internamente aos seus usuários, estando presentes e participando do DISI 2016. Qualquer dúvida, esclarecimento ou apoio, estamos à disposição. Atenciosamente, Coordenação do DISI 2016 ? disi em rnp.br CAIS/RNP Grato, Yuri Alexandro CAIS - Centro de Atendimento a Incidentes de Segurança RNP - Rede Nacional de Ensino e Pesquisa Tel. (19) 3787-3327 ----- End forwarded message ----- From security em unicamp.br Thu Nov 17 09:38:14 2016 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 17 Nov 2016 09:38:14 -0200 Subject: [SECURITY-L] [Security-news] Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-005 Message-ID: <20161117113814.GG21300@unicamp.br> Subject: [Security-news] Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-005 View online: https://www.drupal.org/SA-CORE-2016-005 * Advisory ID: DRUPAL-SA-CORE-2016-005 * Project: Drupal core [1] * Version: 7.x, 8.x * Date: 2016-November-16 * Security risk: 13/25 ( Moderately Critical) AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:Uncommon [2] * Vulnerability: Multiple vulnerabilities -------- DESCRIPTION --------------------------------------------------------- .... Inconsistent name for term access query (Less critical - Drupal 7 and Drupal 8) Drupal provides a mechanism to alter database SELECT queries before they are executed. Contributed and custom modules may use this mechanism to restrict access to certain entities by implementing hook_query_alter() or hook_query_TAG_alter() in order to add additional conditions. Queries can be distinguished by means of query tags. As the documentation on EntityFieldQuery::addTag() [3] suggests, access-tags on entity queries normally follow the form ENTITY_TYPE_access (e.g. node_access). However, the taxonomy module's access query tag predated this system and used term_access as the query tag instead of taxonomy_term_access. As a result, before this security release modules wishing to restrict access to taxonomy terms may have implemented an unsupported tag, or needed to look for both tags (term_access and taxonomy_term_access) in order to be compatible with queries generated both by Drupal core as well as those generated by contributed modules like Entity Reference. Otherwise information on taxonomy terms might have been disclosed to unprivileged users. .... Incorrect cache context on password reset page (Less critical - Drupal 8) The user password reset form does not specify a proper cache context, which can lead to cache poisoning and unwanted content on the page. .... Confirmation forms allow external URLs to be injected (Moderately critical - Drupal 7) Under certain circumstances, malicious users could construct a URL to a confirmation form that would trick users into being redirected to a 3rd party website after interacting with the form, thereby exposing the users to potential social engineering attacks. .... Denial of service via transliterate mechanism (Moderately critical - Drupal 8) A specially crafted URL can cause a denial of service via the transliterate mechanism. -------- CVE IDENTIFIER(S) ISSUED -------------------------------------------- * /A CVE identifier [4] will be requested, and added upon issuance, in accordance with Drupal Security Team processes./ -------- VERSIONS AFFECTED --------------------------------------------------- * Drupal core 7.x versions prior to 7.52 * Drupal core 8.x versions prior to 8.2.3 -------- SOLUTION ------------------------------------------------------------ Install the latest version: * If you use Drupal 7.x, upgrade to Drupal core 7.52 [5] * If you use Drupal 8.x, upgrade to Drupal core 8.2.3 [6] Also see the Drupal core [7] project page. -------- REPORTED BY --------------------------------------------------------- Inconsistent name for term access query: * znerol [8] Incorrect cache context on password reset page: * Charlotte Bone [9] Confirmation forms allow external URLs to be injected: * jnicola [10] * Ezra Wolfe [11] Denial of service via transliterate mechanism: * Lee Rowlands [12] of the Drupal Security Team -------- FIXED BY ------------------------------------------------------------ Inconsistent name for term access query: * znerol [13] * xjm [14] of the Drupal Security Team * David Rothstein [15] of the Drupal Security Team * Dave Reid [16] of the Drupal Security Team * Larry Garfield [17] Incorrect cache context on password reset page: * Chris McCafferty [18], provisional Drupal Security Team member * xjm [19] of the Drupal Security Team * Alex Pott [20] of the Drupal Security Team * Michael Hess [21] of the Drupal Security Team * Nathaniel Catchpole [22] of the Drupal Security Team Confirmation forms allow external URLs to be injected: * Peter Wolanin [23] of the Drupal Security Team * Alex Pott [24] of the Drupal Security Team * David Rothstein [25] of the Drupal Security Team Denial of service via transliterate mechanism: * Lee Rowlands [26] of the Drupal Security Team * Cathy Theys [27] of the Drupal Security Team * Alex Pott [28] of the Drupal Security Team * Peter Wolanin [29] of the Drupal Security Team * Daniel Wehner [30] * Nate Haug [31] * Heine Deelstra [32] of the Drupal Security Team -------- CONTACT AND MORE INFORMATION ---------------------------------------- The Drupal security team can be reached at security at drupal.org or via the contact form at https://www.drupal.org/contact [33]. Learn more about the Drupal Security team and their policies [34], writing secure code for Drupal [35], and securing your site [36]. Follow the Drupal Security Team on Twitter at https://twitter.com/drupalsecurity [37] [1] https://www.drupal.org/project/drupal [2] https://www.drupal.org/security-team/risk-levels [3] https://api.drupal.org/api/drupal/includes!entity.inc/function/EntityFieldQuery%3A%3AaddTag/7.x [4] http://cve.mitre.org/ [5] https://www.drupal.org/project/drupal/releases/7.52 [6] https://www.drupal.org/project/drupal/releases/8.2.3 [7] https://www.drupal.org/project/drupal [8] https://www.drupal.org/user/63999 [9] https://www.drupal.org/u/charlotteb [10] https://www.drupal.org/u/jnicola [11] https://www.drupal.org/u/ezraw [12] https://www.drupal.org/u/larowlan [13] https://www.drupal.org/user/63999 [14] https://www.drupal.org/user/65776 [15] https://www.drupal.org/u/David_Rothstein [16] https://www.drupal.org/u/dave-reid [17] https://www.drupal.org/u/Crell [18] https://www.drupal.org/u/cilefen [19] https://www.drupal.org/user/65776 [20] https://www.drupal.org/user/157725 [21] https://www.drupal.org/u/mlhess [22] https://www.drupal.org/u/catch [23] https://www.drupal.org/u/pwolanin [24] https://www.drupal.org/user/157725 [25] https://www.drupal.org/u/David_Rothstein [26] https://www.drupal.org/u/larowlan [27] https://www.drupal.org/u/yesct [28] https://www.drupal.org/user/157725 [29] https://www.drupal.org/u/pwolanin [30] https://www.drupal.org/u/dawehner [31] https://www.drupal.org/u/quicksketch [32] https://www.drupal.org/u/Heine [33] https://www.drupal.org/contact [34] https://www.drupal.org/security-team [35] https://www.drupal.org/writing-secure-code [36] https://www.drupal.org/security/secure-configuration [37] https://twitter.com/drupalsecurity _______________________________________________ Security-news mailing list Security-news em drupal.org From security em unicamp.br Thu Nov 3 15:46:38 2016 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 03 Nov 2016 17:46:38 -0000 Subject: [SECURITY-L] *** IMPORTANTE: CAIS-Alerta: Vulnerabilidade Bind 9 Message-ID: <20161103174637.GA1765@unicamp.br> ----- Forwarded message from CAIS/RNP Alerta ----- Date: Thu, 3 Nov 2016 14:58:48 -0200 (BRST) From: CAIS/RNP Alerta To: rnp-alerta em cais.rnp.br Subject: CAIS-Alerta: Vulnerabilidade Bind 9 Prezados, O CAIS alerta para uma vulnerabilidade recente envolvendo o servidor de nomes (DNS) Bind9. Ate o momento da publicacao deste alerta, nao foram divulgados codigos de exploracao para a vulnerabilidade listada; porem, a consulta que pode desencadear o problema ja foi debatida em listas de discussao publicas. Descricao Um defeito no tratamento do Bind nas respostas recursivas que contenham um registro DNAME, pode causar o termino do daemon apos encontrar uma falha, causando indisponibilidade (negacao de servico / DoS) para os clientes. Um atacante remoto pode explorar esta vulnerabilidade sem nenhuma autenticacao. Sistemas impactados Sistemas utilizando o Bind9 em versoes 9.9.x anteriores a 9.9.9-P4, versoes 9.10.x anteriores a 9.10.4-P4, e versoes 9.11.x anteriores a 9.11.0-P1 Versoes afetadas Versoes anteriores a 9.9.9-P4, 9.10.4-P4 e 9.11.0-P1 Correcoes disponiveis Atualizar a versao do Bind para a versao mais recente disponibilizada pelos desenvolvedores (9.9.9-P4, 9.10.4-P4 e 9.11.0-P1 no momento da publicacao deste alerta) ou a versao mais recente recomendada de acordo com o sistema operacional em uso. É recomendada a reinicializacao do servico apos a atualizacao. Identificadores CVE (http://cve.mitre.org) CVE-2016-8864 Mais informacoes https://kb.isc.org/article/AA-01434 http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-8864 https://www.debian.org/security/2016/dsa-3703 https://www.ubuntu.com/usn/usn-3119-1/ https://access.redhat.com/security/cve/cve-2016-8864 https://www.suse.com/security/cve/CVE-2016-8864.html http://www.securityfocus.com/bid/94067 O CAIS recomenda que os administradores mantenham seus sistemas e aplicativos sempre atualizados, de acordo com as ultimas versoes e correcoes oferecidas pelos fabricantes. Os alertas do CAIS tambem sao oferecidos no Twitter: Siga @caisrnp Atenciosamente, CAIS/RNP ################################################################ # CENTRO DE ATENDIMENTO A INCIDENTES DE SEGURANCA (CAIS) # # Rede Nacional de Ensino e Pesquisa (RNP) # # # # cais em cais.rnp.br http://www.rnp.br/servicos/seguranca # # Tel. 019-37873300 Fax. 019-37873301 # # Chave PGP disponivel http://www.rnp.br/cais/cais-pgp.key # ################################################################ ----- End forwarded message ----- From security em unicamp.br Thu Nov 10 16:09:46 2016 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 10 Nov 2016 18:09:46 -0000 Subject: [SECURITY-L] =?iso-8859-1?q?DISI_2016_-_Seguran=E7a_e_Internet_da?= =?iso-8859-1?q?s_Coisas_podem_conviver=3F?= Message-ID: <20161110180945.GA6359@unicamp.br> ----- Forwarded message from Yuri Alexandro ----- Date: Wed, 9 Nov 2016 15:11:13 -0200 (BRST) From: Yuri Alexandro To: EnCSIRTs Subject: [Encsirts] DISI 2016 - Segurança e Internet das Coisas podem conviver? Prezados, Para conhecimento e divulgação interna nas Vossas Instituições. Prezados, A Rede Nacional de Ensino e Pesquisa (RNP), através do Centro de Atendimento a Incidentes de Segurança (CAIS), está organizando a 11ª edição do Dia Internacional de Segurança em Informática (DISI). Mais uma vez contaremos com a importante parceria da RedCLARA (Cooperação Latinoamericana de Redes Avançadas) e da OEA (Organização dos Estados Americanos). Ambas organizações promovem ações estruturadas para disseminar a cultura de segurança nos paises que as conformam - a primeira a nível de redes acadêmicas nacionais latino-americanas, a segunda nível governamental. O evento, que será realizado no dia 11 de novembro, no Instituto Federal de Brasília (IFB), na capital federal, tem como objetivo educar e conscientizar os usuários a respeito de segurança na Internet e outros ambientes informatizados. O tema desta edição será "Segurança e Internet das Coisas podem realmente conviver?". Internet das Coisas (IoT, do inglês Internet of Things) já é uma realidade que conecta uma infinidade de equipamentos e dispositivos eletrônicos à Internet e com a possibilidade de estarem interconectados entre si pela nuvem ou datacenters, tais como smartphones, tablets, automóveis, câmeras de segurança, TVs, máquinas de fazer café, geladeiras, dentre muitos outros. Mas o outro lado dessa infinita possibilidade de conexões é o risco referente à segurança de determinadas informações, atentando em muitos casos contra a privacidade dos dados. Este será o foco da edição do DISI neste ano. Convidamos a sua instituição para participar ativamente deste evento! A lista das palestras e palestrantes pode ser conferida no link http://disi.rnp.br/programacao. Para aquelas instituições do Distrito Federal, os participantes podem assistir gratuita e presencialmente o DISI no IFB, fazendo a inscrição no link http://disi.rnp.br/inscricao. Para outras instituições do Brasil e da América Latina, não é necessário inscrição e os participantes podem acompanhar ao vivo pelo link http://disi.rnp.br/assista-ao-vivo. Gostaríamos de contar com o apoio de sua instituição nesse evento tão relevante para a conscientização sobre segurança da informação no ambiente acadêmico e governamental, divulgando internamente aos seus usuários, estando presentes e participando do DISI 2016. Qualquer dúvida, esclarecimento ou apoio, estamos à disposição. Atenciosamente, Coordenação do DISI 2016 ? disi em rnp.br CAIS/RNP Grato, Yuri Alexandro CAIS - Centro de Atendimento a Incidentes de Segurança RNP - Rede Nacional de Ensino e Pesquisa Tel. (19) 3787-3327 ----- End forwarded message ----- From security em unicamp.br Thu Nov 17 09:38:15 2016 From: security em unicamp.br (CSIRT - UNICAMP) Date: Thu, 17 Nov 2016 11:38:15 -0000 Subject: [SECURITY-L] [Security-news] Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-005 Message-ID: <20161117113814.GG21300@unicamp.br> Subject: [Security-news] Drupal Core - Moderately Critical - Multiple Vulnerabilities - SA-CORE-2016-005 View online: https://www.drupal.org/SA-CORE-2016-005 * Advisory ID: DRUPAL-SA-CORE-2016-005 * Project: Drupal core [1] * Version: 7.x, 8.x * Date: 2016-November-16 * Security risk: 13/25 ( Moderately Critical) AC:None/A:None/CI:Some/II:None/E:Theoretical/TD:Uncommon [2] * Vulnerability: Multiple vulnerabilities -------- DESCRIPTION --------------------------------------------------------- .... Inconsistent name for term access query (Less critical - Drupal 7 and Drupal 8) Drupal provides a mechanism to alter database SELECT queries before they are executed. Contributed and custom modules may use this mechanism to restrict access to certain entities by implementing hook_query_alter() or hook_query_TAG_alter() in order to add additional conditions. Queries can be distinguished by means of query tags. As the documentation on EntityFieldQuery::addTag() [3] suggests, access-tags on entity queries normally follow the form ENTITY_TYPE_access (e.g. node_access). However, the taxonomy module's access query tag predated this system and used term_access as the query tag instead of taxonomy_term_access. As a result, before this security release modules wishing to restrict access to taxonomy terms may have implemented an unsupported tag, or needed to look for both tags (term_access and taxonomy_term_access) in order to be compatible with queries generated both by Drupal core as well as those generated by contributed modules like Entity Reference. Otherwise information on taxonomy terms might have been disclosed to unprivileged users. .... Incorrect cache context on password reset page (Less critical - Drupal 8) The user password reset form does not specify a proper cache context, which can lead to cache poisoning and unwanted content on the page. .... Confirmation forms allow external URLs to be injected (Moderately critical - Drupal 7) Under certain circumstances, malicious users could construct a URL to a confirmation form that would trick users into being redirected to a 3rd party website after interacting with the form, thereby exposing the users to potential social engineering attacks. .... Denial of service via transliterate mechanism (Moderately critical - Drupal 8) A specially crafted URL can cause a denial of service via the transliterate mechanism. -------- CVE IDENTIFIER(S) ISSUED -------------------------------------------- * /A CVE identifier [4] will be requested, and added upon issuance, in accordance with Drupal Security Team processes./ -------- VERSIONS AFFECTED --------------------------------------------------- * Drupal core 7.x versions prior to 7.52 * Drupal core 8.x versions prior to 8.2.3 -------- SOLUTION ------------------------------------------------------------ Install the latest version: * If you use Drupal 7.x, upgrade to Drupal core 7.52 [5] * If you use Drupal 8.x, upgrade to Drupal core 8.2.3 [6] Also see the Drupal core [7] project page. -------- REPORTED BY --------------------------------------------------------- Inconsistent name for term access query: * znerol [8] Incorrect cache context on password reset page: * Charlotte Bone [9] Confirmation forms allow external URLs to be injected: * jnicola [10] * Ezra Wolfe [11] Denial of service via transliterate mechanism: * Lee Rowlands [12] of the Drupal Security Team -------- FIXED BY ------------------------------------------------------------ Inconsistent name for term access query: * znerol [13] * xjm [14] of the Drupal Security Team * David Rothstein [15] of the Drupal Security Team * Dave Reid [16] of the Drupal Security Team * Larry Garfield [17] Incorrect cache context on password reset page: * Chris McCafferty [18], provisional Drupal Security Team member * xjm [19] of the Drupal Security Team * Alex Pott [20] of the Drupal Security Team * Michael Hess [21] of the Drupal Security Team * Nathaniel Catchpole [22] of the Drupal Security Team Confirmation forms allow external URLs to be injected: * Peter Wolanin [23] of the Drupal Security Team * Alex Pott [24] of the Drupal Security Team * David Rothstein [25] of the Drupal Security Team Denial of service via transliterate mechanism: * Lee Rowlands [26] of the Drupal Security Team * Cathy Theys [27] of the Drupal Security Team * Alex Pott [28] of the Drupal Security Team * Peter Wolanin [29] of the Drupal Security Team * Daniel Wehner [30] * Nate Haug [31] * Heine Deelstra [32] of the Drupal Security Team -------- CONTACT AND MORE INFORMATION ---------------------------------------- The Drupal security team can be reached at security at drupal.org or via the contact form at https://www.drupal.org/contact [33]. Learn more about the Drupal Security team and their policies [34], writing secure code for Drupal [35], and securing your site [36]. Follow the Drupal Security Team on Twitter at https://twitter.com/drupalsecurity [37] [1] https://www.drupal.org/project/drupal [2] https://www.drupal.org/security-team/risk-levels [3] https://api.drupal.org/api/drupal/includes!entity.inc/function/EntityFieldQuery%3A%3AaddTag/7.x [4] http://cve.mitre.org/ [5] https://www.drupal.org/project/drupal/releases/7.52 [6] https://www.drupal.org/project/drupal/releases/8.2.3 [7] https://www.drupal.org/project/drupal [8] https://www.drupal.org/user/63999 [9] https://www.drupal.org/u/charlotteb [10] https://www.drupal.org/u/jnicola [11] https://www.drupal.org/u/ezraw [12] https://www.drupal.org/u/larowlan [13] https://www.drupal.org/user/63999 [14] https://www.drupal.org/user/65776 [15] https://www.drupal.org/u/David_Rothstein [16] https://www.drupal.org/u/dave-reid [17] https://www.drupal.org/u/Crell [18] https://www.drupal.org/u/cilefen [19] https://www.drupal.org/user/65776 [20] https://www.drupal.org/user/157725 [21] https://www.drupal.org/u/mlhess [22] https://www.drupal.org/u/catch [23] https://www.drupal.org/u/pwolanin [24] https://www.drupal.org/user/157725 [25] https://www.drupal.org/u/David_Rothstein [26] https://www.drupal.org/u/larowlan [27] https://www.drupal.org/u/yesct [28] https://www.drupal.org/user/157725 [29] https://www.drupal.org/u/pwolanin [30] https://www.drupal.org/u/dawehner [31] https://www.drupal.org/u/quicksketch [32] https://www.drupal.org/u/Heine [33] https://www.drupal.org/contact [34] https://www.drupal.org/security-team [35] https://www.drupal.org/writing-secure-code [36] https://www.drupal.org/security/secure-configuration [37] https://twitter.com/drupalsecurity _______________________________________________ Security-news mailing list Security-news em drupal.org