S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 10 octobre 2008
N° CERTA-2008-AVI-488
Affaire suivie par: CERT-FR
le 10 octobre 2008

Avis du CERT-FR

Objet: Multiples vulnérabilités dans Drupal

Gestion du document

Référence CERTA-2008-AVI-488
Titre Multiples vulnérabilités dans Drupal
Date de la première version 10 octobre 2008
Date de la dernière version 10 octobre 2008
Source(s) Bulletin de sécurité Drupal SA-2008-060 du 08 octobre 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Drupal versions 5.x antérieures à 5.11 ;
  • Drupal versions 6.x antérieures à 6.5.

Résumé

Plusieurs vulnérabilités dans Drupal permettent de contourner la politique de sécurité et d'accéder à certains fichiers.

Description

Plusieurs vulnérabilités ont été découvertes dans Drupal :

  • des utilisateurs non privilégiés peuvent attacher des fichiers au contenu (Drupal 6.x) ou récupérer des fichiers attachés au contenu (Drupal 5.x) ;
  • un problème dans le module de gestion des utilisateurs permet de se connecter malgré des restrictions d'accès ;
  • le module BlogAPI ne valide pas correctement certains champs ;
  • une vulnérabilité dans le module node API permet de contourner la validation de certaines pages (Drupal 5.x).

Solution

Mettre Drupal à jour en version 5.11 ou 6.5 (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 10 octobre 2008
    version initiale.