IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

EDI, CMS, Outils, Scripts et API PHP Discussion :

Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal


Sujet :

EDI, CMS, Outils, Scripts et API PHP

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    6 357
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 6 357
    Points : 154 785
    Points
    154 785
    Par défaut Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal
    Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal,
    les administrateurs sont invités à faire la MàJ

    Les administrateurs de sites Web exécutant le logiciel de gestion de contenu Drupal sont priés de prendre des mesures immédiates pour atténuer une vulnérabilité récemment découverte qui peut conduire à une exécution à distance du code PHP dans certaines circonstances.

    Le bogue critique concerne Drupal Core et affecte les branches 8.5.x et 8.6.x du CMS, et les problèmes sont résolus respectivement dans les versions 8.5.11 et 8.6.10. Il est à noter que les versions antérieures à 8.5.x sont en fin de vie et ne reçoivent plus de mises à jour de sécurité.

    Tous les sites Web ne sont pas à risque

    Selon un avis de l'équipe de projet Drupal, les sites Web sont considérés comme étant à risque si l’une des conditions suivantes est respectée :
    • les modules RESTful Web Services (rest) activés et autorisent les demandes PATCH ou POST.
    • un autre module de services Web est activé sur le site, tel que JSON: API dans Drupal 8, ou Services ou services Web RESTful dans Drupal 7.

    Dans le cas de sites correspondant à la description ci-dessus, l'exécution de code PHP arbitraire est possible, car certains types de champs ne parviennent pas à nettoyer correctement les données provenant de sources non formatées.

    Bien que la faille n'affecte pas le noyau de Drupal 7, les responsables du système de gestion de contenu conseillent aux administrateurs des sites exécutant cette version de Drupal d'appliquer les mises à jour apportées si le module Services est en cours d'utilisation.

    Nom : drupal-cms-site-internet.jpg
Affichages : 4662
Taille : 21,8 Ko

    Mesure d'atténuation immédiate

    Si une mise à jour vers la dernière version du CMS n'est pas possible pour le moment, l'équipe Drupal propose une autre action pour atténuer temporairement les risques potentiels: désactivez tous les modules de services Web ou configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web.

    Si ces méthodes sont appliquées, les administrateurs doivent vérifier la configuration du serveur Web pour s'assurer qu'ils couvrent tous les chemins d'accès aux ressources de services Web.

    Citation Envoyé par Drupal
    Pour atténuer immédiatement la vulnérabilité, vous pouvez désactiver tous les modules de services Web ou configurer votre ou vos serveurs Web pour qu'ils n'autorisent pas les demandes PUT / PATCH / POST aux ressources de services Web. Notez que les ressources de services Web peuvent être disponibles sur plusieurs chemins en fonction de la configuration de vos serveurs. Pour Drupal 7, les ressources sont par exemple généralement disponibles via des chemins (adresses vierges) et des arguments pour l'argument de requête "q". Pour Drupal 8, les chemins peuvent toujours fonctionner lorsqu'ils sont préfixés par index.php /
    .

    Drupal est le troisième système de gestion de contenu le plus utilisé après WordPress et Joomla. Étant utilisé sur environ 3 à 4% des sites Web, Drupal en gère donc des dizaines de millions puisque les statistiques datant de 2018 estiment à 1,4 milliard le nombre de sites Web qui ont été créés. Les vulnérabilités critiques de tous les CMS sont populaires parmi les pirates, car les vulnérabilités peuvent être déclenchées contre un grand nombre de sites avec un seul script, souvent facile à écrire.

    Source : Drupal

    Et vous ?

    Avez-vous déjà utilisé ce CMS pour vos sites Web ? Personnels ou professionnels ? Qu'en pensez-vous ?
    Avez-vous déjà utilisé un autre CMS ?
    En général optez-vous pour les CMS ?

    Voir aussi :

    Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
    Drupal corrige une faille critique de contournement d'accès, qui expose les sites à un risque de compromission complète
    Des contributeurs du CMS open source Drupal menacent de quitter le projet, après l'exclusion de Larry Garfield, un contributeur de longue date
    Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre extrêmement actif
    Homme Profil pro
    Développeur Web
    Inscrit en
    juillet 2010
    Messages
    402
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : France

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : Communication - Médias

    Informations forums :
    Inscription : juillet 2010
    Messages : 402
    Points : 1 414
    Points
    1 414
    Par défaut
    Et vue l'importance des sites sous Drupal, oui, autant faire la mise à jour dès la sortie du patch.

    J'aime bien cette approche qui consiste à prévenir de la disponibilité d'un patch quelques jours à l'avance et de publier dans la foulée l'objet de la faille. Ca force tous les professionnels à faire la mise à jour.

    Pour ce qui est de ce patch, il faut aussi mettre à jour certains modules contrib sous D7 (et pas seulement Services).

  3. #3
    Nouveau membre du Club
    Profil pro
    Inscrit en
    janvier 2007
    Messages
    25
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : janvier 2007
    Messages : 25
    Points : 34
    Points
    34
    Par défaut J'ai bien fait de n'avoir pas fait de formation Drupal
    Franchement, autant utiliser un framework comme Symfony que d'utiliser un CMS buggé comme Drupal. De souvenir, j'ai postulé chez Ausy pour faire de la formation Drupal, mais le mec ne veut pas me prendre à plus de 32000€ par an, alors qu'avec plus de 10 ans d'expérience en PHP, je demandais 45000€.Drupal est très demandé dans les SSII.

  4. #4
    Membre régulier
    Inscrit en
    octobre 2004
    Messages
    153
    Détails du profil
    Informations forums :
    Inscription : octobre 2004
    Messages : 153
    Points : 106
    Points
    106
    Par défaut
    J'adore la solution "préventive" : "(...)configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web."

    Bon du coup, tu fermes ton site et tu attends le patch en somme.

  5. #5
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    janvier 2014
    Messages
    1 163
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : janvier 2014
    Messages : 1 163
    Points : 3 057
    Points
    3 057
    Par défaut
    on fait si peu de chose avec des GET en web ? o,O
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  6. #6
    Membre habitué
    Homme Profil pro
    Chef de projet
    Inscrit en
    juin 2014
    Messages
    69
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Cher (Centre)

    Informations professionnelles :
    Activité : Chef de projet

    Informations forums :
    Inscription : juin 2014
    Messages : 69
    Points : 159
    Points
    159
    Par défaut
    J'utilise Drupal 7 et 8 pour une vingtaine de sites web et ça marche plutôt bien. Les mises à jours s’effectuent de façon automatique et avec un coeur Drupal, il est possible de monter plusieurs sites web, ce qui dans certain cas s'avère très pratique.

    J'ai abandonné Joomla parce que les extensions gratuites ne sont que des drafts des extensions payantes, donc ça buggue énormément si par malheur, on veut les utiliser juste pour voir si ça peut convenir et souvent ces extensions recèlent en plus quelques surprises (virus, cheval de troie, ...).

    Le CMS qui détient la palme d'Or en matière de failles de sécurité, c'est Wordpress.

    Donc en conclusion Drupal, même si son approche est un peu plus compliquée au départ que les autres, n'est pas si mauvais en matière de sécurité qu'on veut bien le dire. Comme tout produit logiciel, il a lui aussi quelques failles.
    Donc de fait, l'utilisation de tel ou tel CMS est plutôt une affaire de goût, d'habitude ou de simplicité d'utilisation.

    Pbr18

Discussions similaires

  1. Réponses: 1
    Dernier message: 03/07/2019, 18h35
  2. Réponses: 4
    Dernier message: 21/08/2018, 01h28
  3. Réponses: 2
    Dernier message: 06/04/2017, 21h47
  4. Réponses: 10
    Dernier message: 18/08/2015, 17h12
  5. Réponses: 47
    Dernier message: 23/07/2010, 14h25

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo