Programmez! #239 PDF pour nos abonnés papier

Abonnés papier : en raison de la situation due au coronavirus, des retards sont à prévoir en ce qui concerne la distribution de Programmez! #239 par La Poste. C'est pourquoi nous mettons Programmez! #239 PDF à disposition dans votre compte utilisateur sous un onglet dédié en attendant. Pour y accéder, il vous suffit de saisir votre n° d'abonné (ou éventuellement le ressaisir comme pour l'accès aux archives) dans votre compte utilisateur, si ce n'est pas déjà fait. Si vous ne connaissez par votre numéro d'abonné, vous pouvez l'obtenir à cette page.

En cas de difficultés, contactez le webmaster à partir du formulaire de contact de ce site.

Une vulnérabilité hautement critique découverte dans Drupal 8 et dans certains modules pour Drupal 7

Par:
fredericmazue

ven, 22/02/2019 - 15:41

Une vulnérabilité hautement critique a été découverte dans Drupal 8. Un défaut d'assainissement des données reçues par le célère CMS en dehors des formulaires induit cette vulnérabilité qui, si elle est exploitée, peut conduire à l'exécution de code PHP arbitraire à distance. Ceci lorsque le module 'Core' RESTful Web Services (rest) de Drupal 8 est activé, ou si un autre module de type Web Services (tel que JSON:API par exemple) est installé et activé.

Cette vulnérabilité concerne les branche 8.6.x et 8.5.x de Drupal 8 (Les versions antérieures, en fin de vie, ne reçoivent plus de correctifs de sécurité). La vulnérabilité est corrigée dans Drupal 8.6.10 et 8.5.11 respectivement.

L'équipe de développement de Drupal insiste sur l'urgence absolue qu'il y a à appliquer ces correctifs. Si cela n'est pas possible dans l'immédiat, les administrateurs peuvent désactiver tous les modules de types Web Service ou peuvent configurer leur serveur Web afin qu'il ne permette pas les requêtes PUT/PATCH/POST vers les ressouces Web Services.

Quid de Drupal 7 ?

Drupal 7 n'a pas de module RESTful Web Services et il n'est donc pas vulnérable à la base. Mais il le devient si des modules tles que Services ou RESTful Web Services y ont été installés. Dans ce cas, il n'y a pas de mise à jour du coeur de Drupal 7 à faire, mais les modules tiers doivent être mis à jour immédiatement. (ou désactivés en attendant)