Bulletin d'alerte Debian

DLA-2458-1 drupal7 -- Mise à jour de sécurité pour LTS

Date du rapport :
19 novembre 2020
Paquets concernés :
drupal7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2020-13666, CVE-2020-13671.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Drupal, un cadriciel complet de gestion de contenu.

  • CVE-2020-13666

    L’interface de programmation applicative AJAX de Drupal ne désactivait pas JSONP par défaut. Cela pourrait conduire à un script intersite.

    Pour les configurations reposant sur l’API AJAX de Drupal pour les requêtes JSONP, soit JSONP doit être réactivé, soit l’API AJAX jQuery doit être utilisé.

    Consultez l’annonce de l’amont pour plus de détails : https://www.drupal.org/sa-core-2020-007.

  • CVE-2020-13671

    Drupal échouait à nettoyer les noms de fichier des fichiers téléversés. Cela pourrait conduire à ce que des fichiers soient servis avec un mauvais type MIME ou exécutés selon la configuration du serveur.

    Il est aussi recommandé de vérifier les fichiers déjà téléversés pour des extensions malveillantes. Pour plus de détails, consultez l’annonce de l’amont : https://www.drupal.org/sa-core-2020-012.

Pour Debian 9 Stretch, ces problèmes ont été corrigés dans la version 7.52-2+deb9u12.

Nous vous recommandons de mettre à jour vos paquets drupal7.

Pour disposer d'un état détaillé sur la sécurité de drupal7, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/drupal7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.