Bulletin d'alerte Debian
DSA-1125-2 drupal -- Plusieurs vulnérabilités
- Date du rapport :
- 27 juillet 2006
- Paquets concernés :
- drupal
- Vulnérabilité :
- Oui
- Références dans la base de données de sécurité :
- Dans le système de suivi des bogues Debian : Bogue 368835.
Dans le dictionnaire CVE du Mitre : CVE-2006-2742, CVE-2006-2743, CVE-2006-2831, CVE-2006-2832, CVE-2006-2833. - Plus de précisions :
-
La mise à jour de Drupal contenue dans le bulletin 1125 initial contenait une régression. Cette mise à jour corrige ce défaut. Voici ci-dessous l'intégralité du bulletin précédent :
Plusieurs vulnérabilités exploitables à distance ont été découvertes dans la plateforme de site web Drupal, qui pouvaient permettre l'exécution de script web arbitraire. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
- CVE-2006-2742
Une vulnérabilité d'injection SQL a été découverte dans les variables « count » et « from » de l'interface de base de données.
- CVE-2006-2743
Plusieurs extensions de fichiers n'étaient pas gérées correctement lorsque Drupal était exécuté sur un serveur Apache avec mod_mime activé.
- CVE-2006-2831
Une variante de CVE-2006-2743 a également été corrigée.
- CVE-2006-2832
Une vulnérabilité de script intersites (« Cross-Site-Scripting ») a été découverte dans le module d'envoi de fichier.
- CVE-2006-2833
Une vulnérabilité de script intersites (« Cross-Site-Scripting ») a été découverte dans le module de taxation.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.5.3-6.1sarge2.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.5.8-1.1.
Nous vous recommandons de mettre à jour votre paquet drupal.
- CVE-2006-2742
- Corrigé dans :
-
Debian GNU/Linux 3.1 (sarge)
- Source :
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.dsc
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3.orig.tar.gz
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2.diff.gz
- Composant indépendant de l'architecture :
- http://security.debian.org/pool/updates/main/d/drupal/drupal_4.5.3-6.1sarge2_all.deb
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.