 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 06 juillet 2009
No CERTA-2009-AVI-265 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Drupal
Tableau 1: Gestion du document
| Référence |
CERTA-2009-AVI-265 |
| Titre |
Multiples
vulnérabilités dans Drupal |
| Date de la première
version |
06 juillet 2009 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Drupal SA-CORE-2009-007 du
01 juillet 2009 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Exécution de code arbitraire à distance
;
- injection de code indirecte.
- Drupal versions 5.x
antérieures à 5.19 ;
- Drupal versions 6.x
antérieures à 6.13.
De multiples vulnérabilités dans Drupal permettent de réaliser une
injection de code indirecte et, dans certains cas particuliers,
d'exécuter du code arbitraire à distance ou de
provoquer la divulgation d'un mot de passe.
De multiples vulnérabilités ont
été découvertes dans Drupal :
- le module de forum ne gère pas correctement
certains paramètres. En incitant un utilisateur
disposant de privilèges élevés à
suivre un lien spécifiquement construit, il est
possible de réaliser une injection de code indirecte
(versions 6.x) ;
- dans des cas très particuliers, il est possible
d'exécuter du code par l'intermédiaire des
signatures des utilisateurs (versions 6.x) ;
- lorsqu'un utilisateur se trompe en saisissant ses
identifiants lors d'une connexion, et si sa page actuelle
contient une table de tri, alors les informations saisies
sont stockées dans la table sous forme de liens. En
suivant l'un de ces liens, ces informations peuvent
accidentellement être divulguées.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 06 juillet 2009
- version initiale.
CERTA
2012-01-04
|
|
)
