système de gestion de contenu populaire open source Drupal a publié ses nouvelles versions 6.36 et 7.38 qui définir une liste de vulnérabilités. L'une de ces vulnérabilités apparaît être important, car il se transforme en l'attaquant qui prend en charge les comptes d'administrateur.
CVE-2015-3234 dans le module OpenID
L'équipe de sécurité Drupal a souligné dans un avis que CVE-2015-3234 a été trouvé dans le module OpenID. Ce module permet l'accès à un utilisateur malveillant d'entrer sur le site comme les autres utilisateurs, également administrateurs, et leurs comptes détournements. La faille CVE-2015-3234 est concilié par le fait que la victime doit avoir un compte avec un statut identifié à partir d'un OpenID ensemble particulier de fournisseurs tels que Verisign OpenID, LiveJournal ou StackExchange.
Les experts ont également trouvé trois autres Failles moins critiques dans les versions de Drupal
L'un d'eux est défaut CVE-2015-3232. Il est sur les sites Web qui utilisent Drupal 7 Module ID champ. Les sites affectés par cette vulnérabilité rediriger les utilisateurs vers le site tiers potentiellement malveillant après avoir terminé hors d'une action sur les pages d'administrateur. Cette vulnérabilité ne concerne pas Drupal 6 mais utilise une faille de redirection ouvert similaire qui implique le Content Construction Kit (CCK).
Une autre faille est CVE-2015-3233. Elle se rapporte à des contrôles faibles de validation dans le module de couverture à un autre trou menant directement ouvert pour les sites qui ont permis à l' « accès à la superposition administrative’ autorisation qui couvrira les pages que JavaScript.
La dernière vulnérabilité est appelée CVE-2015-3231 et pourrait cacher des données sensibles qui reste visible pour un utilisateur non privilégié primaire (utilisateur 1). CVE-2015-3231 se trouve dans un trou de détection d'informations dans Drupal 7. Il affecte uniquement les sites qui utilisent le module de cache de rendu ou code personnalisé identique, de sorte que le risque de ce trou est pas si alarmant. Le système reconnaît l'utilisateur Assigné 1 comme compte non admin et nécessite la fabrication de différents configuration par défaut.
équipe de développeurs Drupal conseille aux utilisateurs de mettre à jour Drupal aux versions 6.36 et 7.38.