S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 14 août 2008
N° CERTA-2008-AVI-418
Affaire suivie par: CERT-FR
le 14 août 2008

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2008-AVI-418
Titre Multiples vulnérabilités dans Drupal
Date de la première version 14 août 2008
Date de la dernière version 14 août 2008
Source(s) Bulletin de sécurité Drupal SA-2008-047 du 13 août 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • injection de code indirecte ;
  • atteinte à l'intégrité des données.

Systèmes affectés

  • Drupal versions 5.x antérieures à 5.10 ;
  • Drupal versions 6.x antérieures à 6.4.

Résumé

De multiples vulnérabilités dans Drupal permettent de modifier le contenu, de réaliser des injections de code indirectes et de déposer des fichiers.

Description

De multiples vulnérabilités ont été découvertes dans Drupal :

  • plusieurs erreurs permettent de réaliser des attaques de type cross-site scripting et cross-site request forgery ;
  • le module blogAPI ne valide pas correctement l'extension des fichiers déposés ce qui permet à des utilisateurs disposant de droits spécifiques de déposer des fichiers dangereux ;
  • le module Upload dans Drupal 6 contient une vulnérabilité permettant l'élévation de privilèges pour certains utilisateurs disposant de droits spécifiques. Ceci permet notamment de modifier du contenu.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 14 août 2008
    version initiale.