Risque
- Déni de service à distance ;
- attaques de type Cross Site Scripting.
Systèmes affectés
- Drupal 4.6.x ;
- Drupal 4.7.x.
Description
Plusieurs vulnérabilités découvertes dans Drupal permettent à un utilisateur malintentionné de provoquer un déni de service à distance ou de réaliser des attaques de types Cross Site Scripting.
Un utilisateur malveillant peut exploiter ces vulnérabilités afin d'inclure du code arbitraire sur le serveur. Ce code sera exécuté dans le contexte du navigateur Internet de l'utilisateur accèdant au serveur vulnérable.
Solution
Appliquer les mises à jour de sécurité Drupal en passant à la version 4.6.11 ou 4.7.5 disponibles à l'adresse suivante :
http://drupal.org/project/Drupal+project
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site Internet Drupal :
http://drupal.org/
- Bulletin de sécurité Drupal sa-2007-001 du 05 janvier 2007 :
http://drupal.org/files/sa-2007-001/advisory.txt
- Bulletin de sécurité Drupal sa-2007-002 du 05 janvier 2007 :
http://drupal.org/files/sa-2007-002/advisory.txt
- Référence CVE CVE-2006-6646 :
https://www.cve.org/CVERecord?id=CVE-2006-6646
- Référence CVE CVE-2006-6647 :
https://www.cve.org/CVERecord?id=CVE-2006-6647