Bulletin d'alerte Debian

DSA-1007-1 drupal -- Plusieurs vulnérabilités

Date du rapport :
17 mars 2006
Paquets concernés :
drupal
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.
Plus de précisions :

L'équipe de sécurité de Drupal a découvert plusieurs vulnérabilités dans Drupal, un moteur web de discussion et de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :

  • CVE-2006-1225

    En raison d'une mauvaise vérification des entrées, un attaquant distant pouvait injecter des en-têtes dans les courriels sortants et utiliser Drupal comme relais de pourriel.

  • CVE-2006-1226

    Une mauvaise vérification des entrées permettait à un attaquant d'injecter des scripts web ou HTML arbitraires.

  • CVE-2006-1227

    Les entrées de menu créées avec menu.module n'avaient pas de contrôle d'accès, ce qui pouvait permettre aux attaquants distants d'accéder à des pages d'administration.

  • CVE-2006-1228

    Markus Petrux a découvert un bogue dans la correction des sessions, qui pouvait permettre à des attaquants distants d'obtenir les droits de l'utilisateur Drupal.

L'ancienne distribution stable (Woody) ne contient pas le paquet drupal.

Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.5.3-6.

Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.5.8-1.

Nous vous recommandons de mettre à jour votre paquet drupal.

Corrigé dans :

Debian GNU/Linux 3.1 (sarge)

Source :
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.