La mise à jour de Drupal contenue dans le bulletin 1125 initial contenait une régression. Cette mise à jour corrige ce défaut. Voici ci-dessous l'intégralité du bulletin précédent :
Plusieurs vulnérabilités exploitables à distance ont été découvertes dans la plateforme de site web Drupal, qui pouvaient permettre l'exécution de script web arbitraire. Le projet « Common Vulnerabilities and Exposures » a identifié les problèmes suivants :
Une vulnérabilité d'injection SQL a été découverte dans les variables « count » et « from » de l'interface de base de données.
Plusieurs extensions de fichiers n'étaient pas gérées correctement lorsque Drupal était exécuté sur un serveur Apache avec mod_mime activé.
Une variante de CVE-2006-2743 a également été corrigée.
Une vulnérabilité de script intersites (« Cross-Site-Scripting ») a été découverte dans le module d'envoi de fichier.
Une vulnérabilité de script intersites (« Cross-Site-Scripting ») a été découverte dans le module de taxation.
Pour l'actuelle distribution stable (Sarge), ces problèmes ont été corrigés dans la version 4.5.3-6.1sarge2.
Pour la distribution instable (Sid), ces problèmes ont été corrigés dans la version 4.5.8-1.1.
Nous vous recommandons de mettre à jour votre paquet drupal.
Les sommes MD5 des fichiers indiqués sont disponibles sur la page originale de l'alerte de sécurité.