Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERTA : Vulnérabilités dans Drupal

janvier 2008 par CERTA

1 Risque

Injections de code indirectes (cross-site scripting et cross-site request forgery).

2 Systèmes affectés

* Drupal versions 4.x antérieures à 4.7.11 ;
* Drupal versions 5.x antérieures à 5.6.

3 Résumé

Plusieurs vulnérabilités dans Drupal permettent de réaliser diverses injections de code indirectes.

4 Description

Plusieurs vulnérabilités ont été découvertes dans Drupal :

* une vulnérabilité dans le module de traitement des flux RSS permet de réaliser une attaque de type cross-site request forgery (SA-2008-005) ;
* l’utilisation de séquences de caractères considérés comme invalides par les spécifications de UTF8 permet de réaliser une attaque de type cross-site scripting (SA-2008-006) ;
* lorsque les fichiers de thème (.tpl.php) ont des droits d’accès via le Web et que la variable PHP register_globals est activée, il est possible de réaliser des attaques de type cross-site scripting (SA-2008-007).

5 Contournement provisoire

Il n’existe pas de correctif pour la vulnérabilité décrite dans l’avis Drupal SA-2008-007. L’éditeur recommande de désactiver la variable register_globals et de ne pas positionner de droits d’accès via le Web sur les fichiers de thème.

6 Solution

Mettre à jour en version 4.7.11 ou 5.6. Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs (cf. section Documentation).

7 Documentation

* Bulletin de sécurité Drupal SA-2008-005 du 10 janvier 2008 :

http://drupal.org/node/208562

* Bulletin de sécurité Drupal SA-2008-006 du 10 janvier 2008 :

http://drupal.org/node/208564

* Bulletin de sécurité Drupal SA-2008-007 du 10 janvier 2008 :

http://drupal.org/node/208565




Voir les articles précédents

    

Voir les articles suivants