Informations de sécurité / 2014 / Informations sur la sécurité -- DSA-2851-1 drupal6

Bulletin d'alerte Debian

DSA-2851-1 drupal6 -- Usurpation d'identité

Date du rapport :

2 février 2014

Paquets concernés :

drupal6

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le dictionnaire CVE du Mitre : CVE-2014-1475.

Plus de précisions :

Christian Mainka et Vladislav Mladenov ont signalé une vulnérabilité dans le module OpenID de Drupal, un environnement complet de gestion de contenu. Un utilisateur malveillant pourrait exploiter ce défaut pour se connecter sur le site en se faisant passer pour d'autres utilisateurs, y compris les administrateurs, et pirater leurs comptes.

Ces correctifs nécessitent d'autres mises à jour de la base de données qui peuvent être faites à partir des pages d'administration.

Pour la distribution oldstable (Squeeze), ce problème a été corrigé dans la version 6.30-1.

Nous vous recommandons de mettre à jour vos paquets drupal6.