Bulletin d'alerte Debian
DSA-1930-1 drupal6 -- Plusieurs vulnérabilités
- Date du rapport :
- 7 novembre 2009
- Paquets concernés :
- drupal6
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 535435, Bogue 547140.
Dans le dictionnaire CVE du Mitre : CVE-2009-2372, CVE-2009-2373, CVE-2009-2374. - Plus de précisions :
-
Plusieurs vulnérabilités ont été découvertes dans Drupal 6, un système de gestion de contenu multifonction. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.
- CVE-2009-2372
Gerhard Killesreiter a découvert un défaut dans la façon dont les signatures d'utilisateur sont traitées. Un utilisateur peut injecter du code arbitraire à l'aide d'une signature d'utilisateur contrefaite (SA-CORE-2009-007).
- CVE-2009-2373
Mark Piper, Sven Herrmann et Brandon Knight ont découvert un problème de script intersite dans le module forum, ce qui pourrait être exploité à l'aide du paramètre tid (SA-CORE-2009-007).
- CVE-2009-2374
Sumit Datta a découvert que certaines pages de Drupal 6 laissent fuir des renseignements sensibles comme les accréditations de l'utilisateur (SA-CORE-2009-007).
Plusieurs défauts de conception dans le module OpenID ont été corrigés, ce qui pourrait conduire à des contrefaçons de requête intersite ou des augmentations de droits. Ainsi, la fonction d'envoi de fichier ne traite pas toutes les extensions correctement menant éventuellement à l'exécution de code arbitraire (SA-CORE-2009-008).
La distribution oldstable (Etch) ne contient pas drupal6.
Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny3.
Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.14-1.
Nous vous recommandons de mettre à jour vos paquets drupal6.
- CVE-2009-2372
- Corrigé dans :
-
Debian GNU/Linux 5.0 (lenny)
- Source :
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.