S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 21 janvier 2021
N° CERTFR-2021-AVI-050
Affaire suivie par: CERT-FR
le 21 janvier 2021

Avis du CERT-FR

Objet: Vulnérabilité dans Drupal Core

Gestion du document

Référence CERTFR-2021-AVI-050
Titre Vulnérabilité dans Drupal Core
Date de la première version 21 janvier 2021
Date de la dernière version 21 janvier 2021
Source(s) Bulletin de sécurité Drupal Core sa-core-2021-001 du 20 janvier 2021
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque(s)

  • Non spécifié par l'éditeur

Systèmes affectés

  • Drupal 9.1.x versions antérieures à 9.1.3
  • Drupal 9.x versions antérieures à 9.0.11
  • Drupal 8.9.x versions antérieures à 8.9.13
  • Drupal 7.x versions antérieures à 7.78

L'éditeur ne maintient plus les versions 8 antérieures à 8.9.x. Les utilisateurs d'une version obsolète doivent préalablement mettre à jour Drupal pour bénéficier des correctifs de sécurité.

Résumé

Une vulnérabilité a été découverte dans Drupal Core. Elle permet à un attaquant de provoquer un problème de sécurité non spécifié par l'éditeur.

Contournement provisoire

L'éditeur propose comme mesure de contournement pour ces vulnérabilités de limiter aux utilisateurs de confiance le téléchargement des fichiers .tar, .tar.gz, .bz2 et .tlz.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 21 janvier 2021
    Version initiale