Bulletin d'alerte Debian

DSA-2828-1 drupal6 -- Plusieurs vulnérabilités

Date du rapport :
28 décembre 2013
Paquets concernés :
drupal6
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le dictionnaire CVE du Mitre : CVE-2013-6385, CVE-2013-6386.
Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Drupal, une plateforme complète de gestion de contenu : vulnérabilités dues à une protection optimiste contre la contrefaçon de requête intersite, génération de nombres pseudo-aléatoires peu sûre, exécution de code et validation incorrecte des jetons d'authentification.

Afin d'éviter la vulnérabilité d'exécution de code distant, il est recommandé de créer un fichier .htaccess (ou une directive de configuration équivalente dans le cas où vous n'utilisez pas Apache comme serveur pour vos sites Drupal) dans chacun des répertoires des fichiers de vos sites (à la fois publics et privés, dans le cas où vous avez ces deux configurations).

Veuillez consulter le fichier NEWS fourni avec cette mise à jour et l'avertissement des développeurs amont à la page drupal.org/SA-CORE-2013-003 pour plus d'informations.

Pour la distribution oldstable (Squeeze), ces problèmes ont été corrigés dans la version 6.29-1.

Nous vous recommandons de mettre à jour vos paquets drupal6.