Bulletin d'alerte Debian

DSA-2016-1 drupal6 -- Plusieurs vulnérabilités

Date du rapport :
13 mars 2010
Paquets concernés :
drupal6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 572439.
Plus de précisions :

Plusieurs vulnérabilités (SA-CORE-2010-001) ont été découvertes dans Drupal 6, un système de gestion de contenu complet.

Script intersite à l'installation

Une valeur fournie par l'utilisateur est directement affichée pendant l'installation, permettant à un utilisateur malveillant de contrefaire une URL et réaliser une attaque par script intersite. L'exploitation de cette faille ne peut être réalisée que sur des sites non encore installés.

Redirection ouverte

La fonction API drupal_goto() est susceptible d'une attaque par hameçonnage. Un attaquant pourrait formuler une redirection de façon à obtenir du site Drupal qu'il envoie l'utilisateur vers une URL arbitrairement fournie. Aucune donnée soumise par l'utilisateur ne sera envoyée à cette URL.

Script intersite dans le module de localisation

Le module de localisation et les modules contribués qui en dépendent ne nettoient pas correctement l'affichage des codes de langue, et noms de langue en anglais et en langue d'origine. Même s'ils viennent normalement d'une liste de présélection, une entrée arbitraire d'un administrateur est permise. Cette vulnérabilité est atténuée du fait que l'attaquant doit avoir un rôle avec les droits d'administrateur de langues.

Régénération de session d'un utilisateur bloqué

Dans certaines circonstances, un utilisateur bloqué avec une session ouverte peut maintenir sa session sur le site Drupal, même s'il est bloqué.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny5.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.16-1, qui migrera bientôt vers la distribution testing (Squeeze).

Nous vous recommandons de mettre à jour votre paquet drupal6.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny5_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.