Drupal 6.1 : Mise à jour de sécurité

Téléchargez Drupal 6.1 La première mise à jour de sécurité n'aura pas trainée.
Une faille de sécurité dans la mise en forme des titres a été détecté. Via cette faille, il est possible d'injecter du code malicieux via les titres des nœuds ou commentaires.
On peut noter l'extrême réactivité de l'équipe de Drupal. A peine détectée, la mise à jour est déjà disponible sur les FTP.

Evidement, l'upgrade est chaudement recommandée !

L'annonce de sécurité est disponible dans la suite du message (en anglais).

------------SA-2008-018 - DRUPAL CORE - CROSS SITE SCRIPTING------------

* Advisory ID: DRUPAL-SA-2008-018

* Project: Drupal core

* Version: 6.0

* Date: 2008-February-27

* Security risk: Moderately critical

* Exploitable from: Remote

* Vulnerability: Multiple cross site scripting vulnerabilities

------------DESCRIPTION------------

Titles are not escaped prior to being displayed on content edit forms, allowing
users to inject arbitrary HTML and script code into these pages.

The Drupal.checkPlain function, used to escape text in ECMAScript, contains a
bug which causes it to escape only the first instance of a character, allowing
users to inject arbitrary HTML and script code in certain pages.

Wikipedia has more information about cross site scripting [
http://en.wikipedia.org/wiki/Xss ] (XSS).

------------VERSIONS AFFECTED------------

* Drupal 6.x before version 6.1.

------------SOLUTION------------

Install the latest version:

* Upgrade to Drupal 6.1 [
http://ftp.drupal.org/files/projects/drupal-6.1.tar.gz ].

If you are unable to upgrade immediately, you can apply a patch to secure your
installation until you are able to do a proper upgrade.

* To patch Drupal 6.0 use SA-2008-018-6.0.patch [
http://drupal.org/files/sa-2008-018/SA-2008-018-6.0.patch ].

------------REPORTED BY------------

* Steve McKenzie [ http://drupal.org/user/45890 ] discovered the ECMAScript
issue

* The Drupal security team

------------CONTACT------------

The security contact for Drupal can be reached at security at drupal.org or via
the form at [ http://drupal.org/contact ].

Anonymous (non vérifié) Says:
14 July, 2008 - 15:47

ca n'a rien à voir, mais je suis étonné de ne pas voir de date dans vos articles ? bug ou délibéré ? ca enlève de sa crédibilité, les articles techno vieillissent vite...

répondre

Anonymous (non vérifié) Says:
16 July, 2008 - 13:37

ça fait dilletante oui je trouve aussi... Ca commence un travail et ne le fini pas aussi ...

répondre

Poster un nouveau commentaire

Votre nom : *

E-mail : *

Le contenu de ce champ est gardé secret et ne sera pas montré publiquement.

Page d'accueil :

Sujet :

Comment : *

Format d'entrée

Filtered HTML

Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.
Allowed HTML tags: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd>
Les lignes et les paragraphes vont à la ligne automatiquement.

BBcode

You can enable syntax highlighting of source code with the following tags: <code>, <blockcode>. Beside the tag style "<foo>" it is also possible to use "[foo]".
Les lignes et les paragraphes vont à la ligne automatiquement.
Les adresses de pages web et de messagerie électronique sont transformées en liens automatiquement.

Plus d'informations sur les options de formatage

CAPTCHA

Suite a de nombreux spam (plusieurs centaines/heure), je suis dans l'obligation d'imposer un captcha, en attendant de trouver une parade

What is the first word in the phrase "udeki oya qar reqozur jepuwiw"? : *

Drupal 6.1 : Mise à jour de sécurité

Poster un nouveau commentaire

Syndication

Navigation de livre

Dernieres entrées de la FAQ

Commentaires récents

Contenu populaire

Depuis toujours :