Troisième faille Drupal critique découverte : corrigez immédiatement vos sites

Zut ! Vous devez mettre à jour vos sites Web Drupal.

Oui, bien sûr, encore une fois, littéralement, c’est la troisième fois au cours des 30 derniers jours.
Comme annoncé à l’avance il y a deux jours, Drupal a maintenant publié de nouvelles versions de son logiciel pour corriger une autre vulnérabilité critique d’exécution de code à distance (RCE), affectant son noyau Drupal 7 et 8.
Drupal est un logiciel de gestion de contenu open-source populaire qui alimente des millions de sites Web, et malheureusement, le CMS a été sous attaques actives depuis la divulgation d’une vulnérabilité d’exécution de code à distance très critique.

La nouvelle vulnérabilité a été découverte lors de l’exploration de la vulnérabilité RCE précédemment divulguée, appelée Drupalgeddon2 (CVE-2018-7600) qui a été corrigée le 28 mars, forçant l’équipe Drupal à publier cette mise à jour de correctif de suivi.
Selon un nouvel avis publié par l’équipe, la nouvelle vulnérabilité d’exécution de code à distance (CVE-2018-7602) pourrait également permettre aux attaquants de prendre complètement en charge des sites Web vulnérables.

Puisque la faille précédemment révélée a attiré beaucoup d’attention et a motivé les attaquants à cibler des sites Web fonctionnant sur Drupal, la société a exhorté tous les administrateurs de sites Web à installer de nouveaux correctifs de sécurité dès que possible.

  • Si vous utilisez 7.x, passez à Drupal 7.59.
  • Si vous exécutez 8.5.x, effectuez une mise à niveau vers Drupal 8.5.3.
  • Si vous exécutez 8.4.x, qui n’est plus pris en charge, vous devez d’abord mettre à jour votre site vers la version 8.4.8, puis installer la dernière version 8.5.3 dès que possible.

Il convient également de noter que les nouveaux correctifs ne fonctionneront que si votre site a déjà appliqué des correctifs pour la faille Drupalgeddon2.
"Nous ne sommes pas au courant d’exploits actifs dans la nature pour cette nouvelle vulnérabilité", a déclaré un porte-parole de Drupal au journal The Hacker News. "De plus, la nouvelle faille est plus complexe à enchaîner dans un exploit."
Les détails techniques de la faille, peut être nommé Drupalgeddon3 , n’ont pas été publiés dans l’avis, mais cela ne signifie pas que vous pouvez attendre le lendemain matin pour mettre à jour votre site Web, croyant qu’il ne sera pas attaqué.

Nous avons vu comment des attaquants ont développé des exploits automatisés exploitant la vulnérabilité de Drupalgeddon2 pour injecter des mineurs de crypto-monnaie , des backdoors et d’autres logiciels malveillants dans des sites Web, quelques heures après avoir été rendus publics.
Outre ces deux failles, l’équipe a également corrigé la semaine dernière une vulnérabilité de script intersite critique (XSS) qui aurait pu permettre à des attaquants distants de déclencher des attaques avancées telles que le vol de cookies, le keylogging, le phishing et le vol d’identité.
Par conséquent, les administrateurs de sites Web Drupal sont fortement recommandés pour mettre à jour leurs sites Web dès que possible.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 31 |

Actu en image