IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

CMS : Drupal colmate une faille affectant les versions 7.x antérieures à 7.32
Considérée comme étant hautement critique

Le , par Stéphane le calme
2 commentaires

133PARTAGES

0  0 
L’équipe de sécurité du CMS open source Drupal a annoncé avoir corrigé une vulnérabilité d’injection SQL catégorisée comme étant « hautement critique » dans le système de gestion de contenu qui peut permettre l’exécution de code arbitraire dans les versions 7.x de Drupal antérieures à la version 7.32.

La faille réside dans une API qui est spécialement conçue pour aider à prévenir contre les attaques par injection SQL. « Drupal 7 inclut une API d'abstraction permettant de s'assurer que les requêtes exécutées sur la base de données sont désinfectées pour prévenir les attaques par injection SQL », explique Drupal dans un billet. « Une vulnérabilité dans cette API permet à un attaquant d'envoyer des requêtes spécialement conçues résultant de l'exécution du code SQL arbitraire. Selon le contenu des demandes, cela peut conduire à une escalade de privilège, l'exécution de PHP arbitraire, ou d'autres attaques »

La vulnérabilité peut être exploitée par des utilisateurs anonymes du site. Autrement dit, un visiteur peut lancer une attaque sans avoir besoin de s’authentifier au préalable. Aussi, il a été proposé comme solution aux administrateurs qui utilisent Drupal 7.x antérieure à la 7.32 d’installer des versions plus récentes. Pour ceux qui ne seront pas capables d’effectuer la mise à jour au moins vers Drupal 7.32, un correctif leur est proposé afin de colmater cette faille en attendant.

« Bien qu'aucun exploit connu n’a été utilisé jusqu’à présent, les sites Drupal 7 sont exposés à cette vulnérabilité jusqu'à ce qu'ils soient mis à jour. Contrairement aux avis de sécurité typiques publiés pour Drupal, la nature de cette vulnérabilité fournit un moyen à un attaquant de créer un exploit sans avoir besoin d'un compte ou incite quelqu'un à exposer des informations confidentielles, » explique l’équipe.

La vulnérabilité a été découverte par Sektion Eins, une entreprise allemande de sécurité PHP qui a été embauchée pour auditer Drupal pour le compte d’un client dont le nom n’a pas été divulgué. La faille est également répertoriée sous le nom de CVE-2014-3704.

Télécharger le correctif de sécurité

Source : Drupal

Une erreur dans cette actualité ? Signalez-nous-la !

2 commentaires
Commenter Signaler un problème
air-dex
Avatar de air-dex
Membre expert https://www.developpez.com
Le 17/10/2014 à 1:40
Possibilité de faire des injections SQL grâce à une API censée lutter contre... les injections SQL. Un comble.
0  0 
cyruss666
Avatar de cyruss666
Membre confirmé https://www.developpez.com
Le 20/10/2014 à 19:10
Le conférencier en charge de la thématique sécurité m'informe que ce sujet sera abordé sur sa conférence à Drupagora le 14/11.
0  0