Discussion :

[Stéphane le calme]

Drupal corrige une faille critique de contournement d'accès
qui expose les sites à un risque de compromission complète

L’équipe Drupal a publié un correctif de sécurité pour colmater la faille critique de détournement d'accès, exposant les sites à un risque de compromission complète : les données se verraient donc à la merci des pirates.

Drupal a indiqué qu’un site en est affecté si trois conditions sont réunies :

• le site Web a le module Web RESTful (rest) activé ;
• le site autorise les demandes PATCH ;
• un attaquant est en mesure d'enregistrer un nouveau compte sur le site ou d'accéder à un système existant, indépendamment de ses privilèges.

La branche Drupal 7.x n'est pas affectée et les utilisateurs de Drupal 8 sont invités à effectuer une mise à jour vers les versions 8.3.1 ou 8.2.8 nouvellement publiées. Même si la vulnérabilité n'a pas le niveau de gravité le plus élevé basé sur le système de notation de Drupal, elle est suffisamment sévère pour que les développeurs de la plateforme décident de publier également un correctif pour une version du système de gestion de contenu qui n'est plus officiellement supporté.

En effet, le CMS a déclaré que : « Bien que nous ne fournissions normalement pas de correctif de sécurité pour les versions mineures non prises en charge, étant donné la gravité potentielle de ce problème, nous avons également fourni une version 8.2.x pour nous assurer que les sites qui n'ont pas eu l’opportunité de se mettre à jour vers la version 8.3.0 puissent le faire en toute sécurité ».

Drupal est le troisième système de gestion de contenu le plus populaire après Wordpress et Joomla. Il gère les sites Web de nombreuses entreprises, agences gouvernementales, universités, agences de presse et autres organisations. Parmi ses utilisateurs figurent la Maison-Blanche, le Gouvernement français, la Mairie de Londres, la BBC et l'Université d'Oxford.

Source : Drupal

Voir aussi :

Des contributeurs du CMS open source Drupal menacent de quitter le projet, après l'exclusion de Larry Garfield, un contributeur de longue date
Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomwares

[emutramp]

Bien que nous ne fournissions normalement pas de correctif de sécurité pour les versions mineures...

Ils affichent la couleur publiquement : "osef de la sécu, on veut juste des des $"

Les versions mineures, c'est 8.x.z ? (z correspond a la version mineure)

Ayant eu a la malchance d'avoir a bosser sur le code de drupal pendant une courte période, j'imagines que de bosser sur cette CMS a temps plein, n'est possible qu'avec une ordonance de diazepam...