Bulletin d'alerte Debian

DSA-3075-1 drupal7 -- Mise à jour de sécurité

Date du rapport :
20 novembre 2014
Paquets concernés :
drupal7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2014-9015, CVE-2014-9016.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Drupal, une plateforme complète de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants :

  • CVE-2014-9015

    Aaron Averill a découvert qu'une requête contrefaite pour l'occasion pouvait donner à un utilisateur accès à la session d'un autre utilisateur, permettant à un attaquant de détourner une session au hasard.

  • CVE-2014-9016

    Michael Cullum, Javier Nieto et Andres Rojas Guerrero ont découvert que l'API de hachage des mots de passe permettait à un attaquant d'envoyer des requêtes contrefaites pour l'occasion avec comme conséquence l'épuisement du processeur et de la mémoire. Cela pourrait conduire à rendre le site indisponible ou non réactif (déni de service).

Les configurations spéciales de session.inc et password.inc doivent être aussi examinées pour vérifier si elles sont prédisposées à ces vulnérabilités. Plus d'informations sont disponibles dans l'annonce de l'équipe amont à l'adresse https://www.drupal.org/SA-CORE-2014-006

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.14-2+deb7u8.

Nous vous recommandons de mettre à jour vos paquets drupal7.