 |
|
S . G . D . S . N
Agence nationale
de la sécurité des
systèmes d'information
|
 |
|
Paris, le 05 mars 2010
No CERTA-2010-AVI-108 |
Affaire suivie par :
CERTA
AVIS DU CERTA
Objet : Multiples
vulnérabilités dans Drupal
Tableau 1: Gestion du document
| Référence |
CERTA-2010-AVI-108 |
| Titre |
Multiples
vulnérabilités dans Drupal |
| Date de la première
version |
05 mars 2010 |
| Date de la dernière
version |
- |
| Source(s) |
Bulletin de
sécurité Drupal SA-CORE-2010-001 du
03 mars 2010 |
| Pièce(s) jointe(s) |
Aucune |
|
Une gestion de version détaillée se trouve
à la fin de ce document.
- Contournement de la politique de sécurité
;
- injection de code indirecte à distance.
- Drupal versions 6.x
antérieures à 6.16 ;
- Drupal versions 5.x
antérieures à 5.22.
De multiples vulnérabilités dans Drupal permettent de réaliser des
injections de code indirectes et de contourner la politique de
sécurité.
De multiples vulnérabilités ont
été découvertes dans Drupal :
- une injection de code indirecte est possible durant
l'installation (cette vulnérabilité n'affecte
que Drupal 6) ;
- la fonction drupal_goto() est censée
rediriger les utilisateurs vers une autre page du même
site Drupal. Néanmoins,
une faiblesse dans cette fonction permet de rediriger les
utilisateurs vers un autre site externe, ce qui rend possible
des attaques de type hameçonnage (phishing) ;
- des attaques de type injection de code indirecte sont
possibles via le nom de langue transmis aux modules.
Toutefois, l'exploitation de ces vulnérabilités
nécessite de disposer de droits suffisants sur la
gestion des langues ;
- dans certains cas, un utilisateur ayant une session
ouverte bloquée peut maintenir cette session.
Se référer au bulletin de
sécurité de l'éditeur pour l'obtention des
correctifs (cf. section Documentation).
- 05 mars 2010
- version initiale.
CERTA
2012-01-04
|
|
)
