Bulletin d'alerte Debian

DSA-2847-1 drupal7 -- Plusieurs vulnérabilités

Date du rapport :
20 janvier 2014
Paquets concernés :
drupal7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-1475, CVE-2014-1476.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Drupal, une plateforme complète de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2014-1475

    Christian Mainka et Vladislav Mladenov ont signalé une vulnérabilité dans le module OpenID qui permet à un utilisateur malveillant de se connecter sur le site sous l'identité d'autres utilisateurs, y compris d'administrateurs, et de pirater leurs comptes.

  • CVE-2014-1476

    Matt Vance et Damien Tournoud ont signalé une vulnérabilité de contournement d'accès dans le module taxonomie. Dans certaines circonstances, un contenu non publié peut apparaître dans des pages de liste fournies par le module taxonomie et sera visible par des utilisateurs qui n'auraient pas l'autorisation de le voir.

Ces corrections réclament d'autres mises à jour de la base de données que l'on peut faire à partir des pages d'administration. Cette mise à jour introduit en outre un nouvel élément de renforcement de sécurité pour l'API des formulaires. Veuillez consulter l'avertissement des développeurs amont à la page drupal.org/SA-CORE-2014-001 pour plus d'informations.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.14-2+deb7u2.

Pour la distribution testing (Jessie), ces problèmes ont été corrigés dans la version 7.26-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.26-1.

Nous vous recommandons de mettre à jour vos paquets drupal7.