Risque
- Exécution de code arbitraire à distance ;
- accès non autorisé à un compte ;
- contournement de la politique de sécurité ;
- injection de requêtes illégitimes par rebond.
Systèmes affectés
- Drupal versions 5.x antérieures à 5.20 ;
- Drupal versions 6.x antérieures à 6.14.
Résumé
De multiples vulnérabilités dans Drupal permettent d'accéder de façon illégitime à des comptes et, dans certains cas, d'exécuter du code arbitraire à distance.
Description
De multiples vulnérabilités ont été découvertes dans Drupal :
- une injection de requêtes illégitimes par rebond permet d'ajouter des identités OpenID à des comptes actifs (versions 6.x) ;
- une erreur dans l'implémentation du module OpenID permet à un utilisateur d'accéder à un autre compte que le sien lorqu'ils ont le même fournisseur OpenID 2.0 (versions 6.x) ;
- le dépôt de fichiers avec certaines extensions n'est pas correctement traité, ce qui permet une exécution de code arbitraire à distance. Toutefois, les fichiers sont stockés dans un répertoire protégé par un fichier .htaccess qui empêche leur exécution (sauf si le serveur Apache est configuré pour ignorer ces directives) (versions 6.x) ;
- l'identifiant de session n'est pas réinitialisé lorsqu'un utilisateur anonyme suit un lien lors d'une procédure de mot de passe oublié. Cet identifiant de session peut, sous certaines conditions, être rejoué (versions 5.x).
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal SA-CORE-2009-008 du 16 septembre 2009 :
http://drupal.org/node/579482
