S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 17 août 2010
N° CERTA-2010-AVI-386
Affaire suivie par: CERT-FR
le 17 août 2010

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2010-AVI-386
Titre Multiples vulnérabilités dans Drupal
Date de la première version 17 août 2010
Date de la dernière version 17 août 2010
Source(s) Bulletin de sécurité SA-CORE-2010-002 du 11 août 2010
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Atteinte à la confidentialité des données ;
  • contournement de la politique de sécurité ;
  • injection de code indirecte à distance.

Systèmes affectés

  • Drupal versions 6.x antérieures à 6.18 ;
  • Drupal versions 5.x antérieures à 5.23.

Résumé

De multiples vulnérabilités dans Drupal permettent notamment de lire certains fichiers, de se connecter indûment et de réaliser des injections de code indirectes.

Description

De multiples vulnérabilités ont été découvertes dans Drupal :

  • l'authentification par le module OpenID peut être contournée du fait d'un manque de vérifications. Cette vulnérabilité est présente dans les versions 6.x de Drupal. Les versions 5.x ne sont affectées que si le module tiers OpenID a été installé ;
  • un utilisateur malintentionné peut déposer un fichier dont le nom correspond à un fichier existant déjà dans la base de données, à la casse près. Dans ce cas, un accès à l'autre fichier portant le même nom est accordé ;
  • une vulnérabilité dans le module des commentaires permet de republier des commentaires n'apparaissant pas ;
  • plusieurs injections de code indirectes existent dans divers modules (versions 6.x).

Solution

Les versions 5.23 et 6.18 ou 6.19 corrigent ces vulnérabilités. La version 6.19 ne corrige aucune vulnérabilité par rapport à la version 6.18.

Documentation

Gestion détaillée du document

    le 17 août 2010
    version initiale.