Bulletin d'alerte Debian
DSA-1007-1 drupal -- Plusieurs vulnérabilités
- Date du rapport :
- 17 mars 2006
- Paquets concernés :
- drupal
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le dictionnaire CVE du Mitre : CVE-2006-1225, CVE-2006-1226, CVE-2006-1227, CVE-2006-1228.
- Plus de précisions :
-
L'équipe de sécurité de Drupal a découvert plusieurs vulnérabilités dans Drupal, un moteur web de discussion et de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2006-1225
En raison d'une mauvaise vérification des entrées, un attaquant distant pouvait injecter des en-têtes dans les courriels sortants et utiliser Drupal comme relais de pourriel.
- CVE-2006-1226
Une mauvaise vérification des entrées permettait à un attaquant d'injecter des scripts web ou HTML arbitraires.
- CVE-2006-1227
Les entrées de menu créées avec menu.module n'avaient pas de contrôle d'accès, ce qui pouvait permettre aux attaquants distants d'accéder à des pages d'administration.
- CVE-2006-1228
Markus Petrux a découvert un bogue dans la correction des sessions, qui pouvait permettre à des attaquants distants d'obtenir les droits de l'utilisateur Drupal.
L'ancienne distribution stable (Woody) ne contient pas le paquet drupal.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.5.3-6.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.5.8-1.
Nous vous recommandons de mettre à jour votre paquet drupal.
- CVE-2006-1225
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.