Informations de sécurité / 2017 / Informations sur la sécurité -- DSA-3897-1 drupal7

Bulletin d'alerte Debian

DSA-3897-1 drupal7 -- Mise à jour de sécurité

Date du rapport :

24 juin 2017

Paquets concernés :

drupal7

Vulnérabilité :

Oui

Références dans la base de données de sécurité :

Dans le système de suivi des bogues Debian : Bogue 865498.
Dans le dictionnaire CVE du Mitre : CVE-2015-7943, CVE-2017-6922.

Plus de précisions :

Deux vulnérabilités ont été découvertes dans Drupal, un environnement complet de gestion de contenu. Le projet « Common Vulnerabilities and Exposures » (CVE) identifie les problèmes suivants.

• CVE-2015-7943

  Samuel Mortenson et Pere Orga ont découvert que le module Overlay ne valide pas suffisamment les URL avant d'afficher leur contenu, menant à une vulnérabilité de redirection d'ouverture.

  Plus d'informations sont disponibles à l'adresse https://www.drupal.org/SA-CORE-2015-004

• CVE-2017-6922

  Greg Knaddison, Mori Sugimoto et iancawthorne ont découvert que lorsque des fichiers sont envoyés par des utilisateurs anonymes dans un système de fichiers privé, d'autres utilisateurs anonymes peuvent y accéder menant à une vulnérabilité de contournement d'accès.

  Plus d'informations sont disponibles à l'adresse https://www.drupal.org/SA-CORE-2017-003

Pour la distribution oldstable (Jessie), ces problèmes ont été corrigés dans la version 7.32-1+deb8u9.

Pour la distribution stable (Stretch), ces problèmes ont été corrigés dans la version 7.52-2+deb9u1. Pour la distribution stable (Stretch), CVE-2015-7943 a déjà été corrigé avant la publication initiale.

Nous vous recommandons de mettre à jour vos paquets drupal7.