Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal

Les administrateurs sont invités à faire la MàJ

Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal,
les administrateurs sont invités à faire la MàJ

Les administrateurs de sites Web exécutant le logiciel de gestion de contenu Drupal sont priés de prendre des mesures immédiates pour atténuer une vulnérabilité récemment découverte qui peut conduire à une exécution à distance du code PHP dans certaines circonstances.

Le bogue critique concerne Drupal Core et affecte les branches 8.5.x et 8.6.x du CMS, et les problèmes sont résolus respectivement dans les versions 8.5.11 et 8.6.10. Il est à noter que les versions antérieures à 8.5.x sont en fin de vie et ne reçoivent plus de mises à jour de sécurité.

Tous les sites Web ne sont pas à risque

Selon un avis de l'équipe de projet Drupal, les sites Web sont considérés comme étant à risque si l’une des conditions suivantes est respectée :

• les modules RESTful Web Services (rest) activés et autorisent les demandes PATCH ou POST.
• un autre module de services Web est activé sur le site, tel que JSON: API dans Drupal 8, ou Services ou services Web RESTful dans Drupal 7.

Dans le cas de sites correspondant à la description ci-dessus, l'exécution de code PHP arbitraire est possible, car certains types de champs ne parviennent pas à nettoyer correctement les données provenant de sources non formatées.

Bien que la faille n'affecte pas le noyau de Drupal 7, les responsables du système de gestion de contenu conseillent aux administrateurs des sites exécutant cette version de Drupal d'appliquer les mises à jour apportées si le module Services est en cours d'utilisation.


Mesure d'atténuation immédiate

Si une mise à jour vers la dernière version du CMS n'est pas possible pour le moment, l'équipe Drupal propose une autre action pour atténuer temporairement les risques potentiels: désactivez tous les modules de services Web ou configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web.

Si ces méthodes sont appliquées, les administrateurs doivent vérifier la configuration du serveur Web pour s'assurer qu'ils couvrent tous les chemins d'accès aux ressources de services Web.

.

Drupal est le troisième système de gestion de contenu le plus utilisé après WordPress et Joomla. Étant utilisé sur environ 3 à 4% des sites Web, Drupal en gère donc des dizaines de millions puisque les statistiques datant de 2018 estiment à 1,4 milliard le nombre de sites Web qui ont été créés. Les vulnérabilités critiques de tous les CMS sont populaires parmi les pirates, car les vulnérabilités peuvent être déclenchées contre un grand nombre de sites avec un seul script, souvent facile à écrire.

Source : Drupal

Et vous ?

Avez-vous déjà utilisé ce CMS pour vos sites Web ? Personnels ou professionnels ? Qu'en pensez-vous ?
Avez-vous déjà utilisé un autre CMS ?
En général optez-vous pour les CMS ?

Voir aussi :

Kitty : un malware qui cible les sites web Drupal pour le minage de cryptomonnaie, en exploitant une vulnérabilité du système de gestion de contenu
Drupal corrige une faille critique de contournement d'accès, qui expose les sites à un risque de compromission complète
Des contributeurs du CMS open source Drupal menacent de quitter le projet, après l'exclusion de Larry Garfield, un contributeur de longue date
Des pirates se servent d'attaques par injection de SQL pour attaquer des sites conçus avec le CMS Drupal et y installer de faux ransomware