+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    3 113
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 3 113
    Points : 70 548
    Points
    70 548

    Par défaut Drupal corrige une faille critique de contournement d'accès

    Drupal corrige une faille critique de contournement d'accès
    qui expose les sites à un risque de compromission complète

    L’équipe Drupal a publié un correctif de sécurité pour colmater la faille critique de détournement d'accès, exposant les sites à un risque de compromission complète : les données se verraient donc à la merci des pirates.

    Drupal a indiqué qu’un site en est affecté si trois conditions sont réunies :
    • le site Web a le module Web RESTful (rest) activé ;
    • le site autorise les demandes PATCH ;
    • un attaquant est en mesure d'enregistrer un nouveau compte sur le site ou d'accéder à un système existant, indépendamment de ses privilèges.

    La branche Drupal 7.x n'est pas affectée et les utilisateurs de Drupal 8 sont invités à effectuer une mise à jour vers les versions 8.3.1 ou 8.2.8 nouvellement publiées. Même si la vulnérabilité n'a pas le niveau de gravité le plus élevé basé sur le système de notation de Drupal, elle est suffisamment sévère pour que les développeurs de la plateforme décident de publier également un correctif pour une version du système de gestion de contenu qui n'est plus officiellement supporté.

    En effet, le CMS a déclaré que : « Bien que nous ne fournissions normalement pas de correctif de sécurité pour les versions mineures non prises en charge, étant donné la gravité potentielle de ce problème, nous avons également fourni une version 8.2.x pour nous assurer que les sites qui n'ont pas eu l’opportunité de se mettre à jour vers la version 8.3.0 puissent le faire en toute sécurité ».

    Drupal est le troisième système de gestion de contenu le plus populaire après Wordpress et Joomla. Il gère les sites Web de nombreuses entreprises, agences gouvernementales, universités, agences de presse et autres organisations. Parmi ses utilisateurs figurent la Maison-Blanche, le Gouvernement français, la Mairie de Londres, la BBC et l'Université d'Oxford.

    Source : Drupal

    Voir aussi :

    Des contributeurs du CMS open source Drupal menacent de quitter le projet, après l'exclusion de Larry Garfield, un contributeur de longue date
    Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomwares
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Homme Profil pro
    Sysadmin Linux
    Inscrit en
    mars 2017
    Messages
    76
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Sysadmin Linux

    Informations forums :
    Inscription : mars 2017
    Messages : 76
    Points : 191
    Points
    191

    Par défaut

    Bien que nous ne fournissions normalement pas de correctif de sécurité pour les versions mineures...


    Ils affichent la couleur publiquement : "osef de la sécu, on veut juste des des $"

    Les versions mineures, c'est 8.x.z ? (z correspond a la version mineure)

    Ayant eu a la malchance d'avoir a bosser sur le code de drupal pendant une courte période, j'imagines que de bosser sur cette CMS a temps plein, n'est possible qu'avec une ordonance de diazepam...

Discussions similaires

  1. PayPal a pris plus d'un an pour corriger une faille critique
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 1
    Dernier message: 22/11/2014, 14h24
  2. Adobe corrige une faille critique dans Flash
    Par Francis Walter dans le forum Sécurité
    Réponses: 0
    Dernier message: 06/02/2014, 21h09
  3. PayPal a corrigé une faille critique de sécurité
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 4
    Dernier message: 29/08/2013, 12h10
  4. PayPal a corrigé une faille critique de sécurité
    Par Stéphane le calme dans le forum Actualités
    Réponses: 3
    Dernier message: 28/08/2013, 11h20
  5. Réponses: 2
    Dernier message: 10/05/2012, 16h16

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo