Bulletin d'alerte Debian

DSA-3346-1 drupal7 -- Mise à jour de sécurité

Date du rapport :

31 août 2015

Paquets concernés :

drupal7

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Plus de précisions :

Plusieurs vulnérabilités ont été découvertes dans Drupal, une plateforme de gestion de contenu :

CVE-2015-6658
La fonctionnalité d'autocomplétion de formulaire ne vérifiait pas correctement les URL demandées, permettant à des attaquants distants de réaliser une attaque par script intersite.
CVE-2015-6659
Le système de filtrage des commentaires SQL permettait à un utilisateur avec des droits plus élevés d'injecter du code malveillant dans les commentaires SQL.
CVE-2015-6660
L'API formulaire ne réalisait pas la validation des jetons de formulaire suffisamment tôt, permettant l'exécution de rappels d'envois de fichiers avec une entrée non digne de confiance. Cela permettait à des attaquants distants d'envoyer des fichiers au site sous le compte d'un autre utilisateur.
CVE-2015-6661
Des utilisateurs sans le droit access content pourraient voir les titres de nœuds auxquels ils n'ont pas accès, si les nœuds sont ajoutés à un menu sur le site auquel les utilisateurs ont accès.
CVE-2015-6665
Des attaquants distants pourraient réaliser une attaque par script intersite en invoquant Drupal.ajax() sur un élément HTML sur liste blanche.

Pour la distribution oldstable (Wheezy), ces problèmes ont été corrigés dans la version 7.14-2+deb7u11.

Pour la distribution stable (Jessie), ces problèmes ont été corrigés dans la version 7.32-1+deb8u5.

Pour la distribution testing (Stretch), ces problèmes ont été corrigés dans la version 7.39-1.

Pour la distribution unstable (Sid), ces problèmes ont été corrigés dans la version 7.39-1.

Nous vous recommandons de mettre à jour vos paquets drupal7.