Drupal: De nouvelles mises à jour pour patcher 4 failles

Drupal, le populaire système de gestion de contenu libre, a distribué des mises à jour de sécurité pour adresser plusieurs vulnérabilités dans Drupal Core qui permettaient de compromettre des sites à distance.

Selon les avis publiés par les développeurs, toutes les failles de sécurité patchées ce mois-ci résident dans des librairies externes qui sont inclues dans Drupal 8.6, 8.5 (et versions précédentes) et 7.

L’une des failles est une vulnérabilité cross-site scripting (XSS) qui se trouve dans un plugin qui se nomme JQuery, la librairie JavaScript la plus populaire et qui est intégrée dans le Core.

JQuery a sorti une nouvelle version jQuery 3.4.0 pour patcher la vulnérabilité. Cette faille de sécurité n’a pas été assigné de numéro CVE et affecte toutes les versions antérieures à la version 3.4.0 .

Trois autres failles de sécurité se trouvent dans les composants PHP de Symfony utilisés par le Core. Les failles sont les suivantes: cross-site scripting (CVE-2019-10909), exécution de code à distance (CVE-2019-10910) et contournement d’authentification (CVE-2019-1091).

Installez la nouvelle version de Drupal

Il est donc recommandé d’installer la nouvelle version de votre système de gestion de contenu le plus vite possible:

  • Si vous utilisez la version 8.6, mettez à jour avec la version 8.6.15.
  • Si vous utilisez la version 8.5 ou une version antérieure, installez la version 8.5.15.
  • Si vous utilisez la version 7, installez la version 7.66.

L’année 2019 est mouvementée pour Drupal, en Février une vulnérabilité d’exécution de code à distance avait été patché sans révélé de détails techniques sur la faille.

Malgré cela, le code de la preuve de concept de la vulnérabilité était disponible sur internet seulement deux jours après que le patch ait été distribué.

Plusieurs individus et groupe de hackers ont exploité la faille pour installer des mineurs de cryptomonnaie sur les sites vulnérables.

L’année dernière, des centaines de milliers de sites Drupal avaient aussi été ciblé à cause de deux vulnérabilités d’exécution de code à distance, elles avaient été nommé Drupalgeddon2 et Drupalgeddon3.

Ces attaques avaient aussi commencé peu de temps après que les codes d’exploit des deux vulnérabilités aient été publié sur Internet.

Poster un Commentaire

avatar
  S’abonner  
Notifier de