Bulletin d'alerte Debian

DSA-958-1 drupal -- Plusieurs vulnérabilités

Date du rapport :
27 janvier 2006
Paquets concernés :
drupal
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans la base de données de suivi des bogues (chez SecurityFocus) : Identifiant BugTraq 15674, Identifiant BugTraq 15677, Identifiant BugTraq 15663.
Dans le dictionnaire CVE du Mitre : CVE-2005-3973, CVE-2005-3974, CVE-2005-3975.
Plus de précisions :

Plusieurs problèmes de sécurité ont été découverts dans drupal, un moteur web de discussion et de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CVE-2005-3973

    Plusieurs vulnérabilités de scripts intersites permettaient à des attaquants distants d'injecter des scripts web ou HTML arbitraires.

  • CVE-2005-3974

    Lorsque Drupal était exécuté par PHP5, il n'appliquait pas correctement les droits des utilisateurs, ce qui permettait à des attaquants distants de contourner les vérifications d'accès aux profils des utilisateurs.

  • CVE-2005-3975

    Un conflit d'interprétation permettait à des utilisateurs distants authentifiés d'injecter des scripts web ou HTML dans des fichiers avec une extension GIF ou JPEG.

L'ancienne distribution stable (Woody) ne contient pas drupal.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.5.3-5.

Pour votre distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.5.6-1.

Nous vous recommandons de mettre à jour votre paquet drupal.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-5_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.