Bulletin d'alerte Debian

DLA-2889-1 drupal7 -- Mise à jour de sécurité pour LTS

Date du rapport :
19 janvier 2022
Paquets concernés :
drupal7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2021-41182, CVE-2021-41183, CVE-2016-7103, CVE-2010-5312.
Plus de précisions :

Le projet Drupal inclut une très vieille version de jQuery. Des vulnérabilités de sécurité menant à des attaques par script intersite ont été découvertes dans différentes composantes de la bibliothèque jQuery UI et corrigées pour Drupal version 7.86.

Les correctifs pour les vulnérabilités mentionnées ont été rétroportés dans la version Debian 9 Stretch (7.52).

Drupal est un riche système de gestion de contenus web ; il a été inclus dans Debian jusqu'à Stretch, mais n'est plus présent dans les versions plus récentes. Si vous faites fonctionner un serveur web avec Drupal7, nous vous recommandons fortement de mettre à niveau le paquet drupal7.

Pour disposer d'un état détaillé sur la sécurité de drupal7, veuillez consulter sa page de suivi de sécurité à l'adresse : https://security-tracker.debian.org/tracker/drupal7.

Plus d’informations à propos des annonces de sécurité de Debian LTS, comment appliquer ces mises à jour dans votre système et les questions fréquemment posées peuvent être trouvées sur : https://wiki.debian.org/LTS.

--AWNW9msBK4+52Jxu Content-Type: application/pgp-signature; name="signature.asc"