Risque
- Contournement de la politique de sécurité ;
- atteinte à l'intégrité des données.
Systèmes affectés
Joomla! version 1.5.6 et versions précédentes.
Résumé
Plusieurs vulnérabilités affectent le logiciel Joomla!. Elles permettent de contourner la politique de sécurité ou de porter atteinte à l'intégrité des données.
Description
Une vulnérabilité dans JRequest permet de modifier des variables et, par exemple, d'injecter des caractères non désirés.
Un défaut dans le générateur de nombres aléatoires permet de deviner les mots de passe et les jetons créés par l'application.
Deux vulnérabilités permettent l'envoi de pourriel et la redirection vers des sites malveillants.
Solution
La version 1.5.7 corrige ces problèmes.
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Site du projet Joomla! :
http://www.joomla.org
- Bulletins de sécurité Joomla! du 09 septembre 2008 :
http://developer.joomla.org/security/news/271-20080901-core-jrequest-variable-injection.html
http://developer.joomla.org/security/news/272-20080902-core-random-number-generation-flaw.html
http://developer.joomla.org/security/news/273-20080903-core-commailto-spam.html
http://developer.joomla.org/security/news/274-20080904-core-redirect-spam.html
- Référence CVE CVE-2008-4102 :
https://www.cve.org/CVERecord?id=CVE-2008-4102
- Référence CVE CVE-2008-4103 :
https://www.cve.org/CVERecord?id=CVE-2008-4103
- Référence CVE CVE-2008-4104 :
https://www.cve.org/CVERecord?id=CVE-2008-4104
- Référence CVE CVE-2008-4105 :
https://www.cve.org/CVERecord?id=CVE-2008-4105