
<div dir="ltr">==========================================================================<br>

Ubuntu Security Notice USN-6981-2<br>

September 03, 2024<br>

<br>

drupal7 vulnerabilities<br>

==========================================================================<br>

<br>

A security issue affects these releases of Ubuntu and its derivatives:<br>

<br>

- Ubuntu 14.04 LTS<br>

<br>

Summary:<br>

<br>

Drupal could be made to crash or run programs if it received<br>

specially crafted network traffic.<br>

<br>

Software Description:<br>

- drupal7: fully-featured content management framework<br>

<br>

Details:<br>

<br>

USN-6981-1 fixed vulnerabilities in Drupal. This update provides the<br>

corresponding updates for Ubuntu 14.04 LTS.<br>

<br>

Original advisory details:<br>

<br>

  It was discovered that Drupal incorrectly sanitized uploaded filenames. A<br>

  remote attacker could possibly use this issue to execute arbitrary code.<br>

  (CVE-2020-13671)<br>

<br>

  It was discovered that Drupal incorrectly sanitized archived filenames. A<br>

  remote attacker could possibly use this issue to overwrite arbitrary<br>

  files, or execute arbitrary code. (CVE-2020-28948, CVE-2020-28949)<br>

<br>

Update instructions:<br>

<br>

The problem can be corrected by updating your system to the following<br>

package versions:<br>

<br>

Ubuntu 14.04 LTS<br>

   drupal7                         7.26-1ubuntu0.1+esm2<br>

                                   Available with Ubuntu Pro<br>

<br>

In general, a standard system update will make all the necessary changes.<br>

<br>

References:<br>

   <a href="https://ubuntu.com/security/notices/USN-6981-2" rel="noreferrer" target="_blank">https://ubuntu.com/security/notices/USN-6981-2</a><br>

   <a href="https://ubuntu.com/security/notices/USN-6981-1" rel="noreferrer" target="_blank">https://ubuntu.com/security/notices/USN-6981-1</a><br>

   CVE-2020-13671, CVE-2020-28948, CVE-2020-28949<div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>===</div><div>Computer Security Incident Response Team - CSIRT</div><div>Universidade Estadual de Campinas - Unicamp</div><div>Centro de Computacao - CCUEC</div><div>GnuPG Public Key: <a href="http://www.security.unicamp.br/security.asc" target="_blank">http://www.security.unicamp.br/security.asc</a> [^]</div><div>Contato: +55 19 3521-2289 ou INOC-DBA: 1251*830</div></div></div></div></div>