L'équipe de sécurité de Drupal a découvert plusieurs vulnérabilités dans Drupal, un moteur web de discussion et de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
En raison d'une mauvaise vérification des entrées, un attaquant distant pouvait injecter des en-têtes dans les courriels sortants et utiliser Drupal comme relais de pourriel.
Une mauvaise vérification des entrées permettait à un attaquant d'injecter des scripts web ou HTML arbitraires.
Les entrées de menu créées avec menu.module n'avaient pas de contrôle d'accès, ce qui pouvait permettre aux attaquants distants d'accéder à des pages d'administration.
Markus Petrux a découvert un bogue dans la correction des sessions, qui pouvait permettre à des attaquants distants d'obtenir les droits de l'utilisateur Drupal.
L'ancienne distribution stable (Woody) ne contient pas le paquet drupal.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.5.3-6.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.5.8-1.
Nous vous recommandons de mettre à jour votre paquet drupal.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.