Discussion :

[Stéphane le calme]

CMS : Drupal colmate une faille affectant les versions 7.x antérieures à 7.32
considérée comme étant hautement critique

L’équipe de sécurité du CMS open source Drupal a annoncé avoir corrigé une vulnérabilité d’injection SQL catégorisée comme étant « hautement critique » dans le système de gestion de contenu qui peut permettre l’exécution de code arbitraire dans les versions 7.x de Drupal antérieures à la version 7.32.

La faille réside dans une API qui est spécialement conçue pour aider à prévenir contre les attaques par injection SQL. « Drupal 7 inclut une API d'abstraction permettant de s'assurer que les requêtes exécutées sur la base de données sont désinfectées pour prévenir les attaques par injection SQL », explique Drupal dans un billet. « Une vulnérabilité dans cette API permet à un attaquant d'envoyer des requêtes spécialement conçues résultant de l'exécution du code SQL arbitraire. Selon le contenu des demandes, cela peut conduire à une escalade de privilège, l'exécution de PHP arbitraire, ou d'autres attaques »

La vulnérabilité peut être exploitée par des utilisateurs anonymes du site. Autrement dit, un visiteur peut lancer une attaque sans avoir besoin de s’authentifier au préalable. Aussi, il a été proposé comme solution aux administrateurs qui utilisent Drupal 7.x antérieure à la 7.32 d’installer des versions plus récentes. Pour ceux qui ne seront pas capables d’effectuer la mise à jour au moins vers Drupal 7.32, un correctif leur est proposé afin de colmater cette faille en attendant.

« Bien qu'aucun exploit connu n’a été utilisé jusqu’à présent, les sites Drupal 7 sont exposés à cette vulnérabilité jusqu'à ce qu'ils soient mis à jour. Contrairement aux avis de sécurité typiques publiés pour Drupal, la nature de cette vulnérabilité fournit un moyen à un attaquant de créer un exploit sans avoir besoin d'un compte ou incite quelqu'un à exposer des informations confidentielles, » explique l’équipe.

La vulnérabilité a été découverte par Sektion Eins, une entreprise allemande de sécurité PHP qui a été embauchée pour auditer Drupal pour le compte d’un client dont le nom n’a pas été divulgué. La faille est également répertoriée sous le nom de CVE-2014-3704.

Télécharger le correctif de sécurité

Source : Drupal

[air-dex]

Possibilité de faire des injections SQL grâce à une API censée lutter contre... les injections SQL. Un comble.

[cyruss666]

Le conférencier en charge de la thématique sécurité m'informe que ce sujet sera abordé sur sa conférence à Drupagora le 14/11.