S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 juillet 2009
N° CERTA-2009-AVI-265
Affaire suivie par: CERT-FR
le 06 juillet 2009

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2009-AVI-265
Titre Multiples vulnérabilités dans Drupal
Date de la première version 06 juillet 2009
Date de la dernière version 06 juillet 2009
Source(s) Bulletin de sécurité Drupal SA-CORE-2009-007 du 01 juillet 2009
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • injection de code indirecte.

Systèmes affectés

  • Drupal versions 5.x antérieures à 5.19 ;
  • Drupal versions 6.x antérieures à 6.13.

Résumé

De multiples vulnérabilités dans Drupal permettent de réaliser une injection de code indirecte et, dans certains cas particuliers, d'exécuter du code arbitraire à distance ou de provoquer la divulgation d'un mot de passe.

Description

De multiples vulnérabilités ont été découvertes dans Drupal :

  • le module de forum ne gère pas correctement certains paramètres. En incitant un utilisateur disposant de privilèges élevés à suivre un lien spécifiquement construit, il est possible de réaliser une injection de code indirecte (versions 6.x) ;
  • dans des cas très particuliers, il est possible d'exécuter du code par l'intermédiaire des signatures des utilisateurs (versions 6.x) ;
  • lorsqu'un utilisateur se trompe en saisissant ses identifiants lors d'une connexion, et si sa page actuelle contient une table de tri, alors les informations saisies sont stockées dans la table sous forme de liens. En suivant l'un de ces liens, ces informations peuvent accidentellement être divulguées.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 juillet 2009
    version initiale.