Bulletin d'alerte Debian

DSA-1792-1 drupal6 -- Plusieurs vulnérabilités

Date du rapport :
6 mai 2009
Paquets concernés :
drupal6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 526378.
Dans le dictionnaire CVE du Mitre : CVE-2009-1575, CVE-2009-1576.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Drupal, un système de gestion de contenu (CMS). Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-1575

    pod.Edge a découvert une vulnérabilité de script intersite qui peut être déclenchée lorsque certains navigateurs interprètent des chaînes UTF-8 en tant qu'UTF-7 si elles apparaissent avant que le document HTML généré ne définisse son Content-Type. Cela permet à un utilisateur malveillant d'exécuter du JavaScript arbitraire dans le contexte du site web s'il a le droit d'envoyer du contenu.

  • CVE-2009-1576

    Moritz Naumann a découvert une vulnérabilité de divulgation d'informations. Si un utilisateur est piégé à visiter le site à l'aide d'une URL contrefaite pour l'occasion et à soumettre un formulaire (comme une boîte de recherche) depuis cette page, les informations soumises dans le formulaire pourraient être redirigées vers un site tiers déterminé par l'URL et donc dévoilées au tiers. Le site tiers pourrait alors exécuter une attaque par contrefaçon de requête intersite sur le formulaire soumis.

L'ancienne distribution stable (Etch) ne contient pas drupal et n'est pas concernée.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.11-1

Nous vous recommandons de mettre à jour votre paquet drupal6.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1.diff.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny1_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.