S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 11 décembre 2008
N° CERTA-2008-AVI-596
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2008-AVI-596
Titre Multiples vulnérabilités dans Drupal
Date de la première version11 décembre 2008
Date de la dernière version11 décembre 2008
Source(s) Bulletin de sécurité numéro SA-2008-073 du 10 décembre 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Contournement de la politique de sécurité
  • Injection de requêtes illégitimes par rebond (CSRF)

Systèmes affectés

  • Drupal versions antérieures à la version 5.13 ;
  • Drupal versions antérieures à la version 6.7.

Résumé

Deux vulnérabilités ont été découvertes dans Drupal. Ces vulnérabilités peuvent être exploitées afin de réaliser des attaques par injection de requêtes illégitimes par rebond (CSRF).

Description

Deux vulnérabilités ont été découvertes dans Drupal :

  • la première vulnérabilité résulte d'un mauvais traitement de certaines requêtes HTML. L'exploitation de cette vulnérabilité permet de réaliser des attaques par injection de requêtes illégitimes par rebond (Cross Site Request Forgery ou CSRF) ;
  • la seconde vulnérabilité est due à la présence de fichiers résiduels pouvant être utilisés par un attaquant distant.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 11 décembre 2008
    version initiale.