Premier Ministre

S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 septembre 2008

N° CERTA-2008-AVI-456

Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités de Joomla!

Gestion du document

Référence	CERTA-2008-AVI-456
Titre	Vulnérabilités de Joomla!
Date de la première version	11 septembre 2008
Date de la dernière version	19 septembre 2008
Source(s)	Bulletins de sécurité Joomla! du 09 septembre 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

Atteinte à l'intégrité des données
Contournement de la politique de sécurité

Systèmes affectés

Joomla! version 1.5.6 et versions précédentes.

Résumé

Plusieurs vulnérabilités affectent le logiciel Joomla!. Elles permettent de contourner la politique de sécurité ou de porter atteinte à l'intégrité des données.

Description

Une vulnérabilité dans JRequest permet de modifier des variables et, par exemple, d'injecter des caractères non désirés.

Un défaut dans le générateur de nombres aléatoires permet de deviner les mots de passe et les jetons créés par l'application.

Deux vulnérabilités permettent l'envoi de pourriel et la redirection vers des sites malveillants.

Solution

La version 1.5.7 corrige ces problèmes.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Bulletins de sécurité Joomla! du 09 septembre 2008

http://developer.joomla.org/security/news/274-20080904-core-redirect-spam.html

Site du projet Joomla! :

http://www.joomla.org

Référence CVE CVE-2008-4102

https://www.cve.org/CVERecord?id=CVE-2008-4102

Référence CVE CVE-2008-4103

https://www.cve.org/CVERecord?id=CVE-2008-4103

Référence CVE CVE-2008-4104

https://www.cve.org/CVERecord?id=CVE-2008-4104

Référence CVE CVE-2008-4105

https://www.cve.org/CVERecord?id=CVE-2008-4105

Gestion détaillée du document

le 11 septembre 2008: version initiale.
le 19 septembre 2008: ajout des références CVE.