Drupal touché par une faille hautement critique
ven, 30/03/2018 - 16:44
Une faille hautement critique a été découverte dans le CMS Drupal. Cette faille est aussi grave que la faille dite Drupalgeddon qui avait défrayé la chronique en 2014.
Drupalgeddon permettait d'attaquer très facilement un site et d'y exécuter du code à distance, en étant un simple visiteur sans aucun privilège.
La faille de cette semaine n'a pas (ou pas encore) de nom autre que SA-CORE-2018-002 mais elle est du même niveau.
L'équipe de Drupal avertit à cette page, et détaille la gravité dans une FAQ.
La gravité se résume ainsi :
- aucune difficulté pour réaliser une attaque
- aucun privilège requis, tout visiteur anonyme peut attaquer
- toutes les données non publiques du site sont accessibles via cette faille
- toutes les données peuvent être modifiées ou effacées
- le système entier (Drupal) peut être entièrement compromis.
La faille se situe dans l'amorce (bootstrap) de Drupal et consiste en un traitement insuffisant des paramètres reçus dans l'URL de requête.
Toutes les versions de Drupal sont touchées, des versions 5 à 8
L'équipe de Drupal a très rapidement publié des mises à jour pour Durpal 7.x et Drupal 8.5.1. Il suffit de mettre à jour le système de façon classique pour être protégé.
Les versions Drupal 8.3.x et 8.4.x sont touchées elles aussi mais elles ne sont plus maintenues, donc il n'y a pas mises à jour à appliquer, mais des patches sont fournis dans la page mentionnées plus haut.
En ce qui concerne Drupal 5 et 6 ceux ci ne sont plus maintenus, mais il existe une organisation, D6LTS (Drupal 6 Long Term Support), qui continue de prendre en charge Drupal 6 moyennant rétribution. Pour ce cas particulier, un membre de D6LTS a publié des patches pour Drupal 6 et même Drupal 5. Ne cherchez plus, les patches sont ici.
Tout administrateur de site Drupal devrait appliquer ces correctifs toutes affaires cessantes.