• Consultatif ID: DRUPAL-SA-2010-001-CORE
  • Projet: Drupal
  • Version: 5.x, 6.x
  • Date: 2010-Mars-2003
  • des risques de sécurité: Critique
  • Exploitable à partir de: à distance
  • Vulnérabilité: multiples vulnérabilités

Description

Plusieurs vulnérabilités et les faiblesses ont été découvertes dans Drupal.

site d’installation scriptage intersite

Une valeur fournie par l’utilisateur est sortie directement lors de l’installation de permettre à un utilisateur malveillant de créer une URL et effectuer une attaque cross-site scripting. L’exploit ne peut être réalisée sur des sites non encore installé.

Cela affecte émission Drupal 6.x uniquement.

redirection Open

Le drupal_goto fonction API () est sensible à une attaque de phishing. Un attaquant peut-fait une redirection d’une manière qui devient le site Drupal pour envoyer l’utilisateur vers une URL arbitraire condition. Aucun utilisateur n’a présenté les données seront envoyées à cette URL.

Ce problème affecte Drupal 5.x et 6.x.

Local script module cross-site

Locales qui dépendent des modules d’apport et le module ne nettoie pas l’affichage des codes de langue, et Inglese noms langue maternelle correctement. Bien que ces habituellement à partir d’une liste présélectionnée, entrée arbitraire administrateur est autorisé. Cette vulnérabilité est atténuée par le fait que l’attaquant doit disposer d’un rôle avec la permission du «Administrer langues.

Ce problème affecte Drupal 5.x et 6.x.

Bloqué régénération session de l’utilisateur

Dans certaines circonstances, un utilisateur ayant une session ouverte est bloqué qui peut maintenir sa session sur le site Drupal, Despi bloqué.

Ce problème affecte Drupal 5.x et 6.x.

Versions affectées

  • Drupal 6.x avant la version 6.16.
  • Drupal 5.x avant la version 5.22.

Solution

Installez la dernière version:

  • Si vous utilisez Drupal 6.x, puis mise à niveau vers Drupal 6.16 .
  • Si vous utilisez Drupal 5.x puis vers Drupal 5.22 .

Drupal 5 ne sera plus maintenu Lorsque Drupal 7 est sorti . Mise à niveau vers Drupal 6 est recommandé.

Si vous ne pouvez pas mettre à jour immédiatement, vous pouvez appliquer un patch pour garantir votre installation jusqu’à ce que vous êtes capable de faire une mise à jour appropriée. Ces patchs corriger les vulnérabilités de sécurité, mais ne contiennent pas d’autres correctifs publié dans laquelle étaient Drupal Drupal 6,16 ou 5,22.

Signalé par

La croix site scripting problème d’installation a été rapporté par David Rothstein (*).
La redirection de console a été signalée par Martin Barbella .
Les locaux cross-site scripting module a été rapporté par Justin Klein Keane .
La session de l’utilisateur régénération question bloqué a été rapporté par Craig A. Hancock .

(*) Membre de l’équipe de sécurité Drupal.

Fixé par le

Le site de script inter problème d’installation a été fixé par Heine Deelstra .
La redirection de console a été fixé par Gerhard Killesreiter et Heine Deelstra .
Les locaux cross-site scripting module a été fixé par Stéphane Corlosquet , Peter Wolanin , Heine Deelstra et Neil Drumm .
La session de l’utilisateur régénération question bloqué a été fixé par Gerhard Killesreiter .

Tous les correctifs ont été fait par les membres de l’équipe de sécurité Drupal.

Contact

L’équipe de sécurité pour Drupal peut être atteint à la sécurité au drupal.org ou via le formulaire à http://drupal.org/contact .