Drupal a patché 4 failles critiques

Si vous n’avez pas récemment mis à jour votre site Drupal, il est recommandé de le faire le plus tôt possible.

L’équipe de développement de Drupal a distribué des mises à jour de sécurité importantes pour son logiciel de gestion de contenu qui adresse une faille critique et 3 failles modérément critiques.

En considérant que les sites Drupal sont l’une des cibles favorites des hackers, il est recommandé aux administrateurs de sites d’installer les dernières versions (7.69, 8.7.11, ou 8.8.1) pour empêcher aux hackers de compromettre leurs serveurs web.

Drupal est un système de gestion de contenu (CMS) libre et open-source publié sous la licence publique générale GNU et écrit en PHP. Une distribution est un paquet comprenant le noyau Drupal, un ensemble de modules, des thèmes, des bibliothèques et des profils d’installation. Les distributions Drupal s’adressent à un cas d’usage spécifique, tel que le commerce électronique, l’intranet, le réseau social …

Une vulnérabilité Symlinks dans Drupal

Les multiples vulnérabilités se trouvent dans une librairie de parti tiers nommée ‘Archive_Tar‘ que Drupal utilise pour créer, énumérer, extraire et ajouter des fichiers aux archives tar.

La vulnérabilité réside dans la méthode utilisée par la librairie affectée pour ouvrir les fichiers tar avec Symlinks. Si cette faille est exploitée, elle permet à un hacker d’écrire par dessus des fichiers sensibles sur un serveur ciblé en utilisant un fichier tar malveillant.

La faille affecte seulement les sites Drupal qui sont configurés pour traiter les fichiers .tar, .tar.gz, .bz2 ou .tlz envoyés par des utilisateurs non-fiables.

Selon les développeurs, une preuve de concept de cette vulnérabilité existe déjà et en prenant en compte la popularité des exploits parmi les hackers, il est probable que cette faille soit exploitée activement pour cibler les sites Drupal.

Les vulnérabilités modérément critiques de Drupal

En plus de cette vulnérabilité critique, les développeurs ont aussi patché 3 failles modérément critiques:

  • Déni de service: le fichier install.php utilisé par Drupal 8 Core contient une faille qui peut être exploité par un pirate distant non-authentifié pour nuire à la disponibilité d’un site ciblé en altérant les données mises en cache
  • Contournement de restriction de sécurité: la fonction d’envoi de fichier dans Drupal 8 ne retire pas les points (‘.’) au début ou à la fin des noms de fichiers. Cela peut être utilisé par un hacker ayant la capacité d’envoyer des fichiers pour écrire par dessus les fichiers système tels que .htaccess pour contourner les protections
  • Accès non-autorisé: cette vulnérabilité se trouve dans le module Media Library quand ce dernier ne limite pas correctement l’accès aux médias dans certaines configurations. Cela permet à un utilisateur peu privilégié d’obtenir un accès non-autorisé aux informations sensibles qui devraient être hors d’atteinte.

Selon les développeurs, les administrateurs de sites affectés peuvent mitiger la vulnérabilité de contournement d’accès aux médias en décochant la case “activer l’interface utilisateur avancée” dans /admin/config/meida/media-library. Cette mitigation n’est pas disponible pour les versions 8.7.x.

Toutes les vulnérabilités modérément critiques ont été patché avec la sortie des versions 8.7.11 et 8.8.1 . Pour l’instant, il n’y a pas de preuves de concept pour ces failles.

Une preuve de concept existe pour la vulnérabilité critique. Il est donc recommandé aux utilisateurs de versions vulnérables de mettre à jour leur CMS vers la dernière version le plus tôt possible.

En Mai, des mises à jour de sécurité avaient été distribué pour adresser 4 vulnérabilités qui permettaient de compromettre des sites à distance. Toutes ces failles de sécurité résidaient dans des librairies externes qui sont inclues dans Drupal 8.6, 8.5 (et versions antérieures) et 7.

L’une des failles était une vulnérabilité cross-site scripting (XSS) qui se trouvait dans le plugin JQuery, la librairie JavaScript la plus populaire qui est intégrée dans Drupal Core. Les trois autres failles de sécurité se trouvaient dans les composants PHP de Symfony: cross-site scripting (CVE-2019-10909), exécution de code à distance (CVE-2019-10910) et contournement d’authentification (CVE-2019-1091).

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x