drupal

Une nouvelle faille critique découverte dans Drupal

Les développeurs de Drupal viennent de sortir la dernière version de leur logiciel. Cette nouvelle version patch une grosse vulnérabilité qui permettait à un individu mal intentionné de pirater un site à distance. Drupal est un système de gestion de contenu open-source très populaire et utilisé par des millions de sites web, .

La mise à jour vient deux jours après que l’équipe de sécurité ait publié un avis de sécurité avancée sur les prochains patchs, prévenant les administrateurs de sites web de la nécessité de réparer leurs sites avent que des hackers utilisent cette vulnérabilité.

Selon l’équipe de sécurité, la vulnérabilité en question est une faille d’exécution de code à distance (RCE) dans le core du système de gestion de contenu qui permettrait d’exécuter du code PHP arbitraire dans certains cas.

Ils n’ont pas encore publié de détails techniques sur la vulnérabilité (CVE-2019-6340) mais ils ont expliqué que la faille est causé par le fait que certains champs n’assainissent pas correctement les données venant de sources non-formelles. Les Core de Drupal 7 et 8 sont affectés.

Il faut préciser que votre site web basé sur Drupal est seulement affecté si module RESTful Web Services (rest) est activé et permet des requêtes PATCH ou POST, ou si il y’a un autre module de service web activé.

Si vous ne pouvez pas installer directement la dernière mise à jour, vous pouvez atténuer la vulnérabilité en désactivant tout les modules de services web, ou en configurant votre serveur web pour qu’il n’accepte pas les requêtes PUT/PATCH/POST vers les ressources de services web.

« Noter que les ressources de services web peuvent être disponible en suivant plusieurs chemins différents selon la configuration de votre serveur, » a précisé la compagnie dans son rapport de sécurité.

« Pour Drupal 7, les ressources sont disponibles via les chemins (URL propre) et via les arguments de la query « q ». Pour Drupal 8, les chemins peuvent encore fonctionner quand ils sont préfixés avec index.php/. »

Il est fortement conseillé de ne pas se contenter de mitiger le problème. La solution la plus sûre est d’installer la mise à jour:

  • Si vous utilisez Drupal 8.6.x, mettez votre site à jour avec la version 8.6.10.
  • Si vous utilisez Drupal 8.5.x ou plus vieux, mettez votre site à jour avec la version 8.5.11

Drupal a crédité Samuel Mortenson (membre de l’équipe de sécurité) pour avoir découvert et signaler cette vulnérabilité.

Laisser un commentaire