Bulletin d'alerte Debian
DSA-1792-1 drupal6 -- Plusieurs vulnérabilités
- Date du rapport :
- 6 mai 2009
- Paquets concernés :
- drupal6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 526378.
Dans le dictionnaire CVE du Mitre : CVE-2009-1575, CVE-2009-1576. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Drupal, un système de gestion de contenu (CMS). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-1575
pod.Edge a découvert une vulnérabilité de script intersite qui peut être déclenchée lorsque certains navigateurs interprètent des chaînes UTF-8 en tant qu'UTF-7 si elles apparaissent avant que le document HTML généré ne définisse son Content-Type. Cela permet à un utilisateur malveillant d'exécuter du JavaScript arbitraire dans le contexte du site web s'il a le droit d'envoyer du contenu.
- CVE-2009-1576
Moritz Naumann a découvert une vulnérabilité de divulgation d'informations. Si un utilisateur est piégé à visiter le site à l'aide d'une URL contrefaite pour l'occasion et à soumettre un formulaire (comme une boîte de recherche) depuis cette page, les informations soumises dans le formulaire pourraient être redirigées vers un site tiers déterminé par l'URL et donc dévoilées au tiers. Le site tiers pourrait alors exécuter une attaque par contrefaçon de requête intersite sur le formulaire soumis.
L'ancienne distribution stable (Etch) ne contient pas drupal et n'est pas concernée.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny1.
Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.11-1
Nous vous recommandons de mettre à jour votre paquet drupal6.
- CVE-2009-1575
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.