Accueil Plan du site Contact       QUI SOMMES NOUS ? ACTUALITÉS AVIS DE SÉCURITÉ DOCUMENTATION PARENTS ET ENFANTS EVENEMENTS TIC OUTILS DE SÉCURITÉ

Déclarer un Incident Déclarer un Malware Déclarer un Phishing Déclarer une Faille     25.05.2013 Risque Moyen    Abonnez vous    L'ANSI est membre de : Cliquez sur le logo pour accéder au site   Vulnerabilité  Drupal  Référence : tunCERT/Vuln.2012-207  Version : 1.0  Date de la version : 07/06/2012    Classification de la vulnérabilité Risque :   Critique  Conséquence : Obtention de privilèges  Niveau de Confiance : Officiel  Moyen nécessaire à l'attaquant : A distance sans compte    Information sur le(s) système(s) impacté(s) Logiciel(s) impacté(s) :       Tokenauth 6.x-1.x antérieures à 6.x-1.7       Organic Groups 6.x-2.x antérieures à 6.x-2.4       Node Embed 6.x-1.x antérieures à 6.x-1.5       Node Embed 7.x-1.x antérieures à 7.x-1.0       Maestro 7.x-1.x antérieures à 7.x-1.2   Description Analyse détaillée : Ces vulnérabilités sont dues à : Une erreur de contrôle des sessions utilisateurs dans le module « Tokenauth ». L’exploitation de cette faille pourrait permettre à un attaquant distant d’obtenir un accès à un site web vulnérable et d’élever ses privilèges. Des erreurs de validation des données en entrée et des permissions utilisateurs dans le module « Organic Groups ». L’exploitation de ces failles pourrait permettre à un attaquant distant d’obtenir un accès non autorisé à un site web vulnérable et de réaliser des attaques de type Cross-Site Scripting. Une erreur de validation des accès utilisateurs à certains nœuds (nodes) dans le module « Node Embed ». L’exploitation de cette faille pourrait permettre à un attaquant distant de divulguer des informations sensibles. Des erreurs de validation des données en entrée dans le module « Maestro ». L’exploitation de cette faille pourrait permettre à un attaquant distant de réaliser des attaques de type Cross-Site Scripting et Cross-Site Request Forgery.   Solution 01 - Mettre à jour le module Organic Groups avec la version 6.x-2.4         Téléchargement du module Organic Groups 6.x-2.4            http://drupal.org/node/1619736   02 - Mettre à jour le module Maestro avec la version 7.x-1.2         Téléchargement du module Maestro 7.x-1.2            http://drupal.org/node/1617952   03 - Mettre à jour le module Token Authentication avec la version 6.x-1.7         Téléchargement du module Token Authentication 6.x-1.7            http://drupal.org/node/1618476   04 - Mettre à jour le module Node Embed 7.x avec la version 7.x-1.0         Téléchargement du module Node Embed 7.x-1.0            http://drupal.org/node/1618428   05 - Mettre à jour le module Node Embed 6.x-1.x avec la version 6.x-1.5         Téléchargement du module Node Embed 6.x-1.5            http://drupal.org/node/1618430   Identifiant(s) du problème          Documentation additionnelle       SA-CONTRIB-2012-094            http://drupal.org/node/1619830       SA-CONTRIB-2012-091            http://drupal.org/node/1619808       SA-CONTRIB-2012-092            http://drupal.org/node/1619810       SA-CONTRIB-2012-093            http://drupal.org/node/1619824     94, Av Jugurtha, Mutuelle Ville, 1002 Tunis, Tunisie Tél. : (+216) 71 843 200 - Fax : (+216) 71 846 363 - Email Webmaster : webmaster@ansi.tn Copyright © 2011 tunCERT