Drupal: De nouvelles mises à jour pour patcher plusieurs failles

Drupal, le populaire système de gestion de contenu libre, a distribué des mises à jour de sécurité pour adresser plusieurs vulnérabilités dans Drupal Core qui permettait de compromettre des sites à distance.

Selon les avis publié par les développeurs de Drupal, toutes les failles de sécurité patchées ce mois-ci réside dans des librairies externe qui sont inclues dans Drupal 8.6, Drupal 8.5 (et versions précédentes) et Drupal 7.

L’une des failles est une vulnérabilité cross-site scripting (XSS) qui se trouve dans un plugin qui se nomme JQuery, la librairie JavaScript la plus populaire et qui est intégrée dans Drupal Core.

JQuery a sorti une nouvelle version jQuery 3.4.0 pour patcher la vulnérabilité. Cette faille de sécurité n’a pas été assigné de numéro CVE et affecte toutes les versions antérieures à la version 3.4.0 .

Trois autres failles de sécurité se trouvent dans les composants PHP de Symfony utilisés par le Core. Les failles sont les suivantes: cross-site scripting (CVE-2019-10909), exécution de code à distance (CVE-2019-10910) et contournement d’authentification (CVE-2019-1091).

Il est donc recommandé d’installer la nouvelle version de votre système de gestion de contenu le plus vite possible:

  • Si vous utilisez la version 8.6, mettez à jour avec la version 8.6.15.
  • Si vous utilisez la version 8.5 ou une version antérieure, installez la version 8.5.15.
  • Si vous utilisez la version 7, installez la version 7.66.

L’année 2019 est mouvementée pour Drupal, en Février une vulnérabilité d’exécution de code à distance avait été patché sans révélé de détails techniques sur la faille.

Malgré cela, le code d’exploit proof-of-concept (PoC) de la vulnérabilité était disponible sur internet seulement deux jours après que le patch ait été distribué.

Plusieurs individus et groupe de hackers ont exploité la faille pour installer des mineurs de cryptomonnaie sur les sites vulnérables.

L’année dernière, des centaines de milliers de sites Drupal avaient aussi été ciblé à cause de deux vulnérabilités d’exécution de code à distance, elles avaient été nommé Drupalgeddon2 et Drupalgeddon3.

Ces attaques avaient aussi commencé peu de temps après que les codes d’exploit PoC des deux vulnérabilités avaient été publié sur Internet.

Laisser un commentaire