S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 26 mai 2006
N° CERTA-2006-AVI-219
Affaire suivie par: CERT-FR
le 26 mai 2006

Avis du CERT-FR

Objet: Vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2006-AVI-219
Titre Vulnérabilités dans Drupal
Date de la première version 26 mai 2006
Date de la dernière version 26 mai 2006
Source(s) Bulletin de mise à jour du projet Drupal du 18 mai 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance ;
  • contournement de la politique de sécurité ;
  • atteinte à l'intégrité des données ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • La version 4.6.6 de Drupal et les versions antérieures ;
  • la version 4.7.0 de Drupal.

Description

Drupal est un environnement pour gérer les contenus de sites Internet. Deux vulnérabilités ont été identifiées dans les versions 4.6.X et 4.7.0 :

  • La première concerne les droits manquants au répertoire files. Un utilisateur malveillant peut donc lire ou écrire certains fichiers (voire même les exécuter s'il peut les télécharger au préalable sur le site vulnérable).
  • La seconde repose sur un mauvais contrôle de paramètres intégrés dans des requêtes SQL. Il est alors possible pour un utilisateur malveillant d'injecter du code SQL arbitraire dans la base de données.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 26 mai 2006
    version initiale.