Risques
- Attaques de type cross site scripting
- Déni de service à distance
Systèmes affectés
- Drupal 4.6.x ;
- Drupal 4.7.x.
Description
Plusieurs vulnérabilités découvertes dans Drupal permettent à un utilisateur malintentionné de provoquer un déni de service à distance ou de réaliser des attaques de types Cross Site Scripting.
Un utilisateur malveillant peut exploiter ces vulnérabilités afin d'inclure du code arbitraire sur le serveur. Ce code sera exécuté dans le contexte du navigateur Internet de l'utilisateur accèdant au serveur vulnérable.
Solution
Appliquer les mises à jour de sécurité Drupal en passant à la version 4.6.11 ou 4.7.5 disponibles à l'adresse suivante :
http://drupal.org/project/Drupal+project
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal sa-2007-001 du 05 janvier 2007 http://drupal.org/files/sa-2007-001/advisory.txt
- Bulletin de sécurité Drupal sa-2007-002 du 05 janvier 2007 http://drupal.org/files/sa-2007-002/advisory.txt
- Site Internet Drupal : http://drupal.org/
- Référence CVE CVE-2006-6646 https://www.cve.org/CVERecord?id=CVE-2006-6646
- Référence CVE CVE-2006-6647 https://www.cve.org/CVERecord?id=CVE-2006-6647