Risque

  • Injections de code indirectes (cross-site scripting et cross-site request forgery)

Systèmes affectés

  • Drupal versions 4.x antérieures à 4.7.11 ;
  • Drupal versions 5.x antérieures à 5.6.

Résumé

Plusieurs vulnérabilités dans Drupal permettent de réaliser diverses injections de code indirectes.

Description

Plusieurs vulnérabilités ont été découvertes dans Drupal :

  • une vulnérabilité dans le module de traitement des flux RSS permet de réaliser une attaque de type cross-site request forgery (SA-2008-005) ;
  • l'utilisation de séquences de caractères considérés comme invalides par les spécifications de UTF8 permet de réaliser une attaque de type cross-site scripting (SA-2008-006) ;
  • lorsque les fichiers de thème (.tpl.php) ont des droits d'accès via le Web et que la variable PHP register_globals est activée, il est possible de réaliser des attaques de type cross-site scripting (SA-2008-007).

Contournement provisoire

Il n'existe pas de correctif pour la vulnérabilité décrite dans l'avis Drupal SA-2008-007. L'éditeur recommande de désactiver la variable register_globals et de ne pas positionner de droits d'accès via le Web sur les fichiers de thème.

Solution

Mettre à jour en version 4.7.11 ou 5.6. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation