Risque
- Injections de code indirectes (cross-site scripting et cross-site request forgery)
Systèmes affectés
- Drupal versions 4.x antérieures à 4.7.11 ;
- Drupal versions 5.x antérieures à 5.6.
Résumé
Plusieurs vulnérabilités dans Drupal permettent de réaliser diverses injections de code indirectes.
Description
Plusieurs vulnérabilités ont été découvertes dans Drupal :
- une vulnérabilité dans le module de traitement des flux RSS permet de réaliser une attaque de type cross-site request forgery (SA-2008-005) ;
- l'utilisation de séquences de caractères considérés comme invalides par les spécifications de UTF8 permet de réaliser une attaque de type cross-site scripting (SA-2008-006) ;
- lorsque les fichiers de thème (.tpl.php) ont des droits d'accès via le Web et que la variable PHP register_globals est activée, il est possible de réaliser des attaques de type cross-site scripting (SA-2008-007).
Contournement provisoire
Il n'existe pas de correctif pour la vulnérabilité décrite dans l'avis Drupal SA-2008-007. L'éditeur recommande de désactiver la variable register_globals et de ne pas positionner de droits d'accès via le Web sur les fichiers de thème.
Solution
Mettre à jour en version 4.7.11 ou 5.6. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Drupal SA-2008-005 du 10 janvier 2008 http://drupal.org/node/208562
- Bulletin de sécurité Drupal SA-2008-006 du 10 janvier 2008 http://drupal.org/node/208564
- Bulletin de sécurité Drupal SA-2008-007 du 10 janvier 2008 http://drupal.org/node/208565
