Des millions de sites Web menacés par un bogue d'exécution de code extrêmement critique dans Drupal
Les administrateurs sont invités à faire la MàJ
Le 2019-02-22 10:42:33, par Stéphane le calme, Chroniqueur Actualités
Les administrateurs de sites Web exécutant le logiciel de gestion de contenu Drupal sont priés de prendre des mesures immédiates pour atténuer une vulnérabilité récemment découverte qui peut conduire à une exécution à distance du code PHP dans certaines circonstances.
Le bogue critique concerne Drupal Core et affecte les branches 8.5.x et 8.6.x du CMS, et les problèmes sont résolus respectivement dans les versions 8.5.11 et 8.6.10. Il est à noter que les versions antérieures à 8.5.x sont en fin de vie et ne reçoivent plus de mises à jour de sécurité.
Tous les sites Web ne sont pas à risque
Selon un avis de l'équipe de projet Drupal, les sites Web sont considérés comme étant à risque si l’une des conditions suivantes est respectée :
Dans le cas de sites correspondant à la description ci-dessus, l'exécution de code PHP arbitraire est possible, car certains types de champs ne parviennent pas à nettoyer correctement les données provenant de sources non formatées.
Bien que la faille n'affecte pas le noyau de Drupal 7, les responsables du système de gestion de contenu conseillent aux administrateurs des sites exécutant cette version de Drupal d'appliquer les mises à jour apportées si le module Services est en cours d'utilisation.
Mesure d'atténuation immédiate
Si une mise à jour vers la dernière version du CMS n'est pas possible pour le moment, l'équipe Drupal propose une autre action pour atténuer temporairement les risques potentiels: désactivez tous les modules de services Web ou configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web.
Si ces méthodes sont appliquées, les administrateurs doivent vérifier la configuration du serveur Web pour s'assurer qu'ils couvrent tous les chemins d'accès aux ressources de services Web.
Drupal est le troisième système de gestion de contenu le plus utilisé après WordPress et Joomla. Étant utilisé sur environ 3 à 4% des sites Web, Drupal en gère donc des dizaines de millions puisque les statistiques datant de 2018 estiment à 1,4 milliard le nombre de sites Web qui ont été créés. Les vulnérabilités critiques de tous les CMS sont populaires parmi les pirates, car les vulnérabilités peuvent être déclenchées contre un grand nombre de sites avec un seul script, souvent facile à écrire.
Source : Drupal
Et vous ?
Voir aussi :
Le bogue critique concerne Drupal Core et affecte les branches 8.5.x et 8.6.x du CMS, et les problèmes sont résolus respectivement dans les versions 8.5.11 et 8.6.10. Il est à noter que les versions antérieures à 8.5.x sont en fin de vie et ne reçoivent plus de mises à jour de sécurité.
Tous les sites Web ne sont pas à risque
Selon un avis de l'équipe de projet Drupal, les sites Web sont considérés comme étant à risque si l’une des conditions suivantes est respectée :
- les modules RESTful Web Services (rest) activés et autorisent les demandes PATCH ou POST.
- un autre module de services Web est activé sur le site, tel que JSON: API dans Drupal 8, ou Services ou services Web RESTful dans Drupal 7.
Dans le cas de sites correspondant à la description ci-dessus, l'exécution de code PHP arbitraire est possible, car certains types de champs ne parviennent pas à nettoyer correctement les données provenant de sources non formatées.
Bien que la faille n'affecte pas le noyau de Drupal 7, les responsables du système de gestion de contenu conseillent aux administrateurs des sites exécutant cette version de Drupal d'appliquer les mises à jour apportées si le module Services est en cours d'utilisation.
Mesure d'atténuation immédiate
Si une mise à jour vers la dernière version du CMS n'est pas possible pour le moment, l'équipe Drupal propose une autre action pour atténuer temporairement les risques potentiels: désactivez tous les modules de services Web ou configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web.
Si ces méthodes sont appliquées, les administrateurs doivent vérifier la configuration du serveur Web pour s'assurer qu'ils couvrent tous les chemins d'accès aux ressources de services Web.
Drupal est le troisième système de gestion de contenu le plus utilisé après WordPress et Joomla. Étant utilisé sur environ 3 à 4% des sites Web, Drupal en gère donc des dizaines de millions puisque les statistiques datant de 2018 estiment à 1,4 milliard le nombre de sites Web qui ont été créés. Les vulnérabilités critiques de tous les CMS sont populaires parmi les pirates, car les vulnérabilités peuvent être déclenchées contre un grand nombre de sites avec un seul script, souvent facile à écrire.
Source : Drupal
Et vous ?
Voir aussi :
-
sebastianoMembre extrêmement actifEt vue l'importance des sites sous Drupal, oui, autant faire la mise à jour dès la sortie du patch.
J'aime bien cette approche qui consiste à prévenir de la disponibilité d'un patch quelques jours à l'avance et de publier dans la foulée l'objet de la faille. Ca force tous les professionnels à faire la mise à jour.
Pour ce qui est de ce patch, il faut aussi mettre à jour certains modules contrib sous D7 (et pas seulement Services).le 22/02/2019 à 13:30 -
SteinvikelMembre experton fait si peu de chose avec des GET en web ? o,Ole 02/03/2019 à 3:49
-
mister_soodNouveau membre du ClubFranchement, autant utiliser un framework comme Symfony que d'utiliser un CMS buggé comme Drupal. De souvenir, j'ai postulé chez Ausy pour faire de la formation Drupal, mais le mec ne veut pas me prendre à plus de 32000€ par an, alors qu'avec plus de 10 ans d'expérience en PHP, je demandais 45000€.Drupal est très demandé dans les SSII.le 23/02/2019 à 13:01
-
PortekoiMembre régulierJ'adore la solution "préventive" : "(...)configurez le serveur Web pour rejeter les demandes PUT / PATCH / POST aux ressources des services Web."
Bon du coup, tu fermes ton site et tu attends le patch en somme.le 01/03/2019 à 19:29 -
PBernard18Membre habituéJ'utilise Drupal 7 et 8 pour une vingtaine de sites web et ça marche plutôt bien. Les mises à jours s’effectuent de façon automatique et avec un coeur Drupal, il est possible de monter plusieurs sites web, ce qui dans certain cas s'avère très pratique.
J'ai abandonné Joomla parce que les extensions gratuites ne sont que des drafts des extensions payantes, donc ça buggue énormément si par malheur, on veut les utiliser juste pour voir si ça peut convenir et souvent ces extensions recèlent en plus quelques surprises (virus, cheval de troie, ...).
Le CMS qui détient la palme d'Or en matière de failles de sécurité, c'est Wordpress.
Donc en conclusion Drupal, même si son approche est un peu plus compliquée au départ que les autres, n'est pas si mauvais en matière de sécurité qu'on veut bien le dire. Comme tout produit logiciel, il a lui aussi quelques failles.
Donc de fait, l'utilisation de tel ou tel CMS est plutôt une affaire de goût, d'habitude ou de simplicité d'utilisation.
Pbr18le 04/03/2019 à 15:01