Bulletin d'alerte Debian

DSA-1930-1 drupal6 -- Plusieurs vulnérabilités

Date du rapport :
7 novembre 2009
Paquets concernés :
drupal6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 535435, Bogue 547140.
Dans le dictionnaire CVE du Mitre : CVE-2009-2372, CVE-2009-2373, CVE-2009-2374.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Drupal 6, un système de gestion de contenu multifonction. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2009-2372

    Gerhard Killesreiter a découvert un défaut dans la façon dont les signatures d'utilisateur sont traitées. Un utilisateur peut injecter du code arbitraire à l'aide d'une signature d'utilisateur contrefaite (SA-CORE-2009-007).

  • CVE-2009-2373

    Mark Piper, Sven Herrmann et Brandon Knight ont découvert un problème de script intersite dans le module forum, ce qui pourrait être exploité à l'aide du paramètre tid (SA-CORE-2009-007).

  • CVE-2009-2374

    Sumit Datta a découvert que certaines pages de Drupal 6 laissent fuir des renseignements sensibles comme les accréditations de l'utilisateur (SA-CORE-2009-007).

Plusieurs défauts de conception dans le module OpenID ont été corrigés, ce qui pourrait conduire à des contrefaçons de requête intersite ou des augmentations de droits. Ainsi, la fonction d'envoi de fichier ne traite pas toutes les extensions correctement menant éventuellement à l'exécution de code arbitraire (SA-CORE-2009-008).

La distribution oldstable (Etch) ne contient pas drupal6.

Pour la distribution stable (Lenny), ces problèmes ont été corrigés dans la version 6.6-3lenny3.

Pour la distribution testing (Squeeze) et la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 6.14-1.

Nous vous recommandons de mettre à jour vos paquets drupal6.

Corrigé dans :

Debian GNU/Linux 5.0 (lenny)

Source :
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.dsc
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3.diff.gz
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6.orig.tar.gz
Composant indépendant de l'architecture :
http://security.debian.org/pool/updates/main/d/drupal6/drupal6_6.6-3lenny3_all.deb

Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.