LTS — Prise en charge à long terme de Debian / LTS — Informations de sécurité / 2016 / Informations sur la sécurité -- DLA-548-1 drupal7

Bulletin d'alerte Debian

DLA-548-1 drupal7 -- Mise à jour de sécurité pour LTS

Date du rapport :

11 juillet 2016

Paquets concernés :

drupal7

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2015-7943.

Plus de précisions :

Il y avait une vulnérabilité de redirection d'ouverture dans drupal7, un environnement de gestion de contenu.

Le module Overlay dans le noyau de Drupal affiche les pages d'administration comme une couche au-dessus de la page actuelle (en utilisant JavaScript) plutôt que de remplacer la page dans la fenêtre de navigation. Le module ne validait pas suffisamment les URL avant d'afficher leur contenu, menant à une vulnérabilité de redirection d'ouverture.

Pour Debian 7 Wheezy, ce problème a été corrigé dans la version 7.14-2+deb7u13 dans drupal7.

Nous vous recommandons de mettre à jour vos paquets drupal7.