Informations de sécurité / 2013 / Informations sur la sécurité -- DSA-2804-1 drupal7

Bulletin d'alerte Debian

DSA-2804-1 drupal7 -- Plusieurs vulnérabilités

Date du rapport :

26 novembre 2013

Paquets concernés :

drupal7

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2013-6385, CVE-2013-6386, CVE-2013-6387, CVE-2013-6388, CVE-2013-6389.

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Drupal, un environnement complet de gestion de contenu : contrefaçon de requête intersite, génération de nombres pseudo-aléatoires non sûre, exécution de code, validation incorrecte des jetons de sécurité et script intersite.

Pour éviter l'exécution de code à distance, il est recommandé de créer un fichier .htaccess (ou une configuration équivalente si vous n'utilisez pas Apache pour servir vos sites Drupal) dans chacun de vos répertoires files (à la fois publics et privés, si les deux sont configurés) de vos sites.

Veuillez consulter le fichier NEWS fourni avec cette mise à jour et l'annonce de l'équipe amont à drupal.org/SA-CORE-2013-003 pour plus d'information.

Pour la distribution stable (Wheezy), ces problèmes ont été corrigés dans la version 7.14-2+deb7u1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.24-1.

Nous vous recommandons de mettre à jour vos paquets drupal7.