Exécution de code à distance sur Drupal

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

 

Gestion du document

Origine: bjCSIRT

Numéro: 2019/ALERTE/002

Date de l’alerte: 21/02/2019

TLP: White

Aperçu de la vulnérabilité

Une vulnérabilité d’exécution de code à distance a été découverte dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Cela permet potentiellement aux attaquants d’exploiter plusieurs vecteurs d’attaque sur un site Drupal, ce qui pourrait compromettre la sécurité du site. Cette vulnérabilité (SA-CORE-2019-003) est liée à une autre vulnérabilité de 2018  (SA-CORE-2018-002) et sont toutes deux déjà exploitées par les attaquants.

Description

Certains types de champs ne vérifient pas correctement les données provenant de sources non formelles. Cela peut conduire à une exécution arbitraire du code PHP dans certains cas.

Ceci n’affecte un site que si l’une des conditions suivantes est remplie:

  1. Le site dispose du module de services Web RESTful Drupal 8 principal activé et permet les requêtes PATCH ou POST,

un autre module de services Web est activé sur le site, tel que JSON: API dans Drupal 8, ou Services ou services Web RESTful dans Drupal 7.

Mesures à prendre

  1. Si vous utilisez Drupal 8.6.x, effectuez une mise à niveau vers Drupal 8.6.10.
  2. Si vous utilisez Drupal 8.5.x ou une version antérieure, effectuez une mise à niveau vers Drupal 8.5.11.
  3. Assurez-vous d’installer les mises à jour de sécurité disponibles pour les projets ajoutés après la mise à jour de Drupal Core.
  4. Aucune mise à jour principale n’est requise pour Drupal 7, mais plusieurs modules contribués à Drupal 7 nécessitent des mises à jour.

Les versions de Drupal 8 antérieures à 8.5.x sont en fin de vie et ne bénéficient pas d’une couverture de sécurité.

Pour atténuer immédiatement la vulnérabilité, vous pouvez désactiver tous les modules de services Web ou configurer vos serveurs Web pour qu’ils n’autorisent pas les demandes PUT / PATCH / POST aux ressources de services Web. Notez que les ressources de services Web peuvent être disponibles sur plusieurs chemins en fonction de la configuration de vos serveurs. Pour Drupal 7, les ressources sont par exemple généralement disponibles via des chemins (adresses vierges) et des arguments pour l’argument de requête « q ». Pour Drupal 8, les chemins peuvent toujours fonctionner lorsqu’ils sont préfixés par index.php /.

Lien Utiles

https://www.drupal.org/sa-core-2019-003

https://www.drupal.org/sa-core-2018-002

Partagez sur vos réseaux.