Bulletin d'alerte Debian

DSA-3897-1 drupal7 -- Mise à jour de sécurité

Date du rapport :
24 juin 2017
Paquets concernés :
drupal7
Vulnérabilité :
Oui
Références dans la base de données de sécurité :
Dans le système de suivi des bogues Debian : Bogue 865498.
Dans le dictionnaire CVE du Mitre : CVE-2015-7943, CVE-2017-6922.
Plus de précisions :

Deux vulnérabilités ont été découvertes dans Drupal, un environnement complet de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

  • CVE-2015-7943

    Samuel Mortenson et Pere Orga ont découvert que le module Overlay ne valide pas suffisamment les URL avant d'afficher leur contenu, menant à une vulnérabilité de redirection d'ouverture.

    Plus d'informations sont disponibles à l'adresse https://www.drupal.org/SA-CORE-2015-004

  • CVE-2017-6922

    Greg Knaddison, Mori Sugimoto et iancawthorne ont découvert que lorsque des fichiers sont envoyés par des utilisateurs anonymes dans un système de fichiers privé, d'autres utilisateurs anonymes peuvent y accéder menant une vulnérabilité de contournement d'accès.

    Plus d'informations sont disponibles à l'adresse https://www.drupal.org/SA-CORE-2017-003

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.32-1+deb8u9.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52-2+deb9u1. Pour la distribution stable (Stretch), CVE-2015-7943 a déjà été corrigé avant la publication initiale.

Nous vous recommandons de mettre à jour vos paquets drupal7.