Sécurité informatique

SECURINFOS.INFO - Bulletins de sécurité informatique, Alertes et Protection

Drupal Menu System : Vulnérabilités de Contournement de la Sécurité

10/04/2008 10H05
Référence Secunia : SA29762 
Date de publication : 2008-04-10

Risque : Moyennement Critique. Niveau 3 sur 5.
Impact : Contournement de la Sécurité
Lieu : A distance


Solutions :
Correctif de l'éditeur


Produit :
Drupal 6.x


Description :
Quelques vulnérabilités ont été identifiées dans Drupal, qui pourraient être exploitées par des utilisateurs malicieux pour passer outre certaines restrictions de sécurité.

Les vulnérabilités sont causées du fait que le menu system non proprement controlling accéder à quelques pages. Cela pourrait être exploité à par ex. edit le profil d'autres utilisateurs, edit content types si l'attaquant est capable de voir administration pages, et divulguer potentiellement des informations sensibles depuis the blog et tracker sites malgré a missing "access content" permission.

Les vulnérabilités sont rapportées en version 6.x précédente à 6.2.


Solutions :
Mettre à jour pour Drupal 6.2 ou appliquer le correctif.

Drupal 6.2:
http://ftp.drupal.org/files/projects/drupal-6.2.tar.gz

Correctif pour Drupal 6.1:
http://drupal.org/files/sa-2008-026/SA-2008-026-6.1c.patch


Vulnérabilité découverte par :

Tracker access vulnérabilité:
Peter Wolanin, Drupal Security Team

Profile access vulnérabilité:
Greg Knaddison, Drupal Security Team

Référence :
http://drupal.org/node/244637




Veuillez noter : L'information sur laquelle ce bulletin Secunia est basé provient d'un tiers sans mention du contraire. Secunia collecte, valide, et vérifie tout les rapports de vulnérabilité issus de la recherche en sécurité de groupes, distributeurs ou autres.

Les noms, marques et enseignes cités sur ce site sont la propriété de leurs déposants respectifs.