Programmez! #239 PDF pour nos abonnés papier

Abonnés papier : en raison de la situation due au coronavirus, des retards sont à prévoir en ce qui concerne la distribution de Programmez! #239 par La Poste. C'est pourquoi nous mettons Programmez! #239 PDF à disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez par votre numéro d'abonné, vous pouvez l'obtenir à cette page.

En cas de difficultés, contactez le webmaster à partir du formulaire de contact de ce site.

Drupal touché par une faille hautement critique

Par:
fredericmazue

ven, 30/03/2018 - 16:44

Une faille hautement critique a été découverte dans le CMS Drupal. Cette faille est aussi grave que la faille dite Drupalgeddon qui avait défrayé la chronique en 2014.

Drupalgeddon permettait d'attaquer très facilement un site et d'y exécuter du code à distance, en étant un simple visiteur sans aucun privilège.

La faille de cette semaine n'a pas (ou pas encore) de nom autre que SA-CORE-2018-002 mais elle est du même niveau.

L'équipe de Drupal avertit à cette page, et détaille la gravité dans une FAQ.

La gravité se résume ainsi :

  • aucune difficulté pour réaliser une attaque
  • aucun privilège requis, tout visiteur anonyme peut attaquer
  • toutes les données non publiques du site sont accessibles via cette faille
  • toutes les données peuvent être modifiées ou effacées
  • le système entier (Drupal) peut être entièrement compromis.

La faille se situe dans l'amorce (bootstrap) de Drupal et consiste en un traitement insuffisant des paramètres reçus dans l'URL de requête.

Toutes les versions de Drupal sont touchées, des versions 5 à 8

L'équipe de Drupal a très rapidement publié des mises à jour pour Durpal 7.x et Drupal 8.5.1. Il suffit de mettre à jour le système de façon classique pour être protégé.

Les versions Drupal 8.3.x et 8.4.x sont touchées elles aussi mais elles ne sont plus maintenues, donc il n'y a pas mises à jour à appliquer, mais des patches sont fournis dans la page mentionnées plus haut.

En ce qui concerne Drupal 5 et 6 ceux ci ne sont plus maintenus, mais il existe une organisation,  D6LTS (Drupal 6 Long Term Support), qui continue de prendre en charge Drupal 6 moyennant rétribution. Pour ce cas particulier, un membre de D6LTS a publié des patches pour Drupal 6 et même Drupal 5. Ne cherchez plus, les patches sont ici.

Tout administrateur de site Drupal devrait appliquer ces correctifs toutes affaires cessantes.