1 pièce(s) jointe(s)
Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal
Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal,
les administrateurs sont invités à faire la MàJ
Les administrateurs de sites Web exécutant le logiciel de gestion de contenu Drupal sont priés de prendre des mesures immédiates pour atténuer une vulnérabilité récemment découverte qui peut conduire à une exécution à distance du code PHP dans certaines circonstances.
Le bogue critique concerne Drupal Core et affecte les branches 8.5.x et 8.6.x du CMS, et les problèmes sont résolus respectivement dans les versions 8.5.11 et 8.6.10. Il est à noter que les versions antérieures à 8.5.x sont en fin de vie et ne reçoivent plus de mises à jour de sécurité.
Tous les sites Web ne sont pas à risque
Selon un avis de l'équipe de projet Drupal, les sites Web sont considérés comme étant à risque si l’une des conditions suivantes est respectée :
- les modules RESTful Web Services (rest) activés et autorisent les demandes PATCH ou POST.
- un autre module de services Web est activé sur le site, tel que JSON: API dans Drupal 8, ou Services ou services Web RESTful dans Drupal 7.
Dans le cas de sites correspondant à la description ci-dessus, l'exécution de code PHP arbitraire est possible, car certains types de champs ne parviennent pas à nettoyer correctement les données provenant de sources non formatées.
Bien que la faille n'affecte pas le noyau de Drupal 7, les responsables du système de gestion de contenu conseillent aux administrateurs des sites exécutant cette version de Drupal d'appliquer les mises à jour apportées si le module Services est en cours d'utilisation.
Mesure d'atténuation immédiate
Si une mise à jour vers la dernière version du CMS n'est pas possible pour le moment, l'équipe Drupal propose une autre action pour atténuer temporairement les risques potentiels: désactivez tous les modules de services Web ou configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web.
Si ces méthodes sont appliquées, les administrateurs doivent vérifier la configuration du serveur Web pour s'assurer qu'ils couvrent tous les chemins d'accès aux ressources de services Web.
Citation:
Envoyé par Drupal
Pour atténuer immédiatement la vulnérabilité, vous pouvez désactiver tous les modules de services Web ou configurer votre ou vos serveurs Web pour qu'ils n'autorisent pas les demandes PUT / PATCH / POST aux ressources de services Web. Notez que les ressources de services Web peuvent être disponibles sur plusieurs chemins en fonction de la configuration de vos serveurs. Pour Drupal 7, les ressources sont par exemple généralement disponibles via des chemins (adresses vierges) et des arguments pour l'argument de requête "q". Pour Drupal 8, les chemins peuvent toujours fonctionner lorsqu'ils sont préfixés par index.php /
.
Drupal est le troisième système de gestion de contenu le plus utilisé après WordPress et Joomla. Étant utilisé sur environ 3 à 4% des sites Web, Drupal en gère donc des dizaines de millions puisque les statistiques datant de 2018 estiment à 1,4 milliard le nombre de sites Web qui ont été créés. Les vulnérabilités critiques de tous les CMS sont populaires parmi les pirates, car les vulnérabilités peuvent être déclenchées contre un grand nombre de sites avec un seul script, souvent facile à écrire.
Source : Drupal
Et vous ?
:fleche: Avez-vous déjà utilisé ce CMS pour vos sites Web ? Personnels ou professionnels ? Qu'en pensez-vous ?
:fleche: Avez-vous déjà utilisé un autre CMS ?
:fleche: En général optez-vous pour les CMS ?
Voir aussi :
:fleche: Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
:fleche: Drupal corrige une faille critique de contournement d'accès, qui expose les sites à un risque de compromission complète
:fleche: Des contributeurs du CMS open source Drupal menacent de quitter le projet, après l'exclusion de Larry Garfield, un contributeur de longue date
:fleche: Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware
J'ai bien fait de n'avoir pas fait de formation Drupal
Franchement, autant utiliser un framework comme Symfony que d'utiliser un CMS buggé comme Drupal. De souvenir, j'ai postulé chez Ausy pour faire de la formation Drupal, mais le mec ne veut pas me prendre à plus de 32000€ par an, alors qu'avec plus de 10 ans d'expérience en PHP, je demandais 45000€.Drupal est très demandé dans les SSII.
