Discussion :

[Stéphane le calme]

Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal,
les administrateurs sont invités à faire la MàJ

Les administrateurs de sites Web exécutant le logiciel de gestion de contenu Drupal sont priés de prendre des mesures immédiates pour atténuer une vulnérabilité récemment découverte qui peut conduire à une exécution à distance du code PHP dans certaines circonstances.

Le bogue critique concerne Drupal Core et affecte les branches 8.5.x et 8.6.x du CMS, et les problèmes sont résolus respectivement dans les versions 8.5.11 et 8.6.10. Il est à noter que les versions antérieures à 8.5.x sont en fin de vie et ne reçoivent plus de mises à jour de sécurité.

Tous les sites Web ne sont pas à risque

Selon un avis de l'équipe de projet Drupal, les sites Web sont considérés comme étant à risque si l’une des conditions suivantes est respectée :

• les modules RESTful Web Services (rest) activés et autorisent les demandes PATCH ou POST.
• un autre module de services Web est activé sur le site, tel que JSON: API dans Drupal 8, ou Services ou services Web RESTful dans Drupal 7.

Dans le cas de sites correspondant à la description ci-dessus, l'exécution de code PHP arbitraire est possible, car certains types de champs ne parviennent pas à nettoyer correctement les données provenant de sources non formatées.

Bien que la faille n'affecte pas le noyau de Drupal 7, les responsables du système de gestion de contenu conseillent aux administrateurs des sites exécutant cette version de Drupal d'appliquer les mises à jour apportées si le module Services est en cours d'utilisation.

Mesure d'atténuation immédiate

Si une mise à jour vers la dernière version du CMS n'est pas possible pour le moment, l'équipe Drupal propose une autre action pour atténuer temporairement les risques potentiels: désactivez tous les modules de services Web ou configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web.

Si ces méthodes sont appliquées, les administrateurs doivent vérifier la configuration du serveur Web pour s'assurer qu'ils couvrent tous les chemins d'accès aux ressources de services Web.

Pour atténuer immédiatement la vulnérabilité, vous pouvez désactiver tous les modules de services Web ou configurer votre ou vos serveurs Web pour qu'ils n'autorisent pas les demandes PUT / PATCH / POST aux ressources de services Web. Notez que les ressources de services Web peuvent être disponibles sur plusieurs chemins en fonction de la configuration de vos serveurs. Pour Drupal 7, les ressources sont par exemple généralement disponibles via des chemins (adresses vierges) et des arguments pour l'argument de requête "q". Pour Drupal 8, les chemins peuvent toujours fonctionner lorsqu'ils sont préfixés par index.php /

.

Drupal est le troisième système de gestion de contenu le plus utilisé après WordPress et Joomla. Étant utilisé sur environ 3 à 4% des sites Web, Drupal en gère donc des dizaines de millions puisque les statistiques datant de 2018 estiment à 1,4 milliard le nombre de sites Web qui ont été créés. Les vulnérabilités critiques de tous les CMS sont populaires parmi les pirates, car les vulnérabilités peuvent être déclenchées contre un grand nombre de sites avec un seul script, souvent facile à écrire.

Source : Drupal

Et vous ?

Avez-vous déjà utilisé ce CMS pour vos sites Web ? Personnels ou professionnels ? Qu'en pensez-vous ?
Avez-vous déjà utilisé un autre CMS ?
En général optez-vous pour les CMS ?

Voir aussi :

Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
Drupal corrige une faille critique de contournement d'accès, qui expose les sites à un risque de compromission complète
Des contributeurs du CMS open source Drupal menacent de quitter le projet, après l'exclusion de Larry Garfield, un contributeur de longue date
Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware

[sebastiano]

Et vue l'importance des sites sous Drupal, oui, autant faire la mise à jour dès la sortie du patch.

J'aime bien cette approche qui consiste à prévenir de la disponibilité d'un patch quelques jours à l'avance et de publier dans la foulée l'objet de la faille. Ca force tous les professionnels à faire la mise à jour.

Pour ce qui est de ce patch, il faut aussi mettre à jour certains modules contrib sous D7 (et pas seulement Services).

[mister_sood]

Franchement, autant utiliser un framework comme Symfony que d'utiliser un CMS buggé comme Drupal. De souvenir, j'ai postulé chez Ausy pour faire de la formation Drupal, mais le mec ne veut pas me prendre à plus de 32000€ par an, alors qu'avec plus de 10 ans d'expérience en PHP, je demandais 45000€.Drupal est très demandé dans les SSII.

[Portekoi]

J'adore la solution "préventive" : "(...)configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web."

Bon du coup, tu fermes ton site et tu attends le patch en somme.

[Steinvikel]

on fait si peu de chose avec des GET en web ? o,O

[PBernard18]

J'utilise Drupal 7 et 8 pour une vingtaine de sites web et ça marche plutôt bien. Les mises à jours s’effectuent de façon automatique et avec un coeur Drupal, il est possible de monter plusieurs sites web, ce qui dans certain cas s'avère très pratique.

J'ai abandonné Joomla parce que les extensions gratuites ne sont que des drafts des extensions payantes, donc ça buggue énormément si par malheur, on veut les utiliser juste pour voir si ça peut convenir et souvent ces extensions recèlent en plus quelques surprises (virus, cheval de troie, ...).

Le CMS qui détient la palme d'Or en matière de failles de sécurité, c'est Wordpress.

Donc en conclusion Drupal, même si son approche est un peu plus compliquée au départ que les autres, n'est pas si mauvais en matière de sécurité qu'on veut bien le dire. Comme tout produit logiciel, il a lui aussi quelques failles.
Donc de fait, l'utilisation de tel ou tel CMS est plutôt une affaire de goût, d'habitude ou de simplicité d'utilisation.

Pbr18