Multiples vulnérabilités dans Drupal

Gestion du document

Référence	CERTA-2007-AVI-011
Titre	Multiples vulnérabilités dans Drupal
Date de la première version	08 janvier 2007
Date de la dernière version	08 janvier 2007
Source(s)	Bulletin de sécurité Drupal sa-2007-001 du 05 janvier 2007 Bulletin de sécurité Drupal sa-2007-002 du 05 janvier 2007
Pièce(s) jointe(s)	Aucune(s)

Tableau 1: Gestion du document

Risque

Déni de service à distance ;
attaques de type Cross Site Scripting.

Systèmes affectés

Drupal 4.6.x ;
Drupal 4.7.x.

Description

Plusieurs vulnérabilités découvertes dans Drupal permettent à un utilisateur malintentionné de provoquer un déni de service à distance ou de réaliser des attaques de types Cross Site Scripting.

Un utilisateur malveillant peut exploiter ces vulnérabilités afin d'inclure du code arbitraire sur le serveur. Ce code sera exécuté dans le contexte du navigateur Internet de l'utilisateur accèdant au serveur vulnérable.

Solution

Appliquer les mises à jour de sécurité Drupal en passant à la version 4.6.11 ou 4.7.5 disponibles à l'adresse suivante :

http://drupal.org/project/Drupal+project

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Site Internet Drupal :
```
http://drupal.org/
```
Bulletin de sécurité Drupal sa-2007-001 du 05 janvier 2007 :
```
http://drupal.org/files/sa-2007-001/advisory.txt
```
Bulletin de sécurité Drupal sa-2007-002 du 05 janvier 2007 :
```
http://drupal.org/files/sa-2007-002/advisory.txt
```

Référence CVE CVE-2006-6646 :

https://www.cve.org/CVERecord?id=CVE-2006-6646

Référence CVE CVE-2006-6647 :

https://www.cve.org/CVERecord?id=CVE-2006-6647

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal