IMPORTANT : Grosse faille de sécurité dans DRUPAL, faites les mises à jour !

Mammouth du PHP | 1967 Messages

28 mars 2018, 22:50

Bonjour à tous,

L'équipe de sécurité de Drupal a révèlé aujourd'hui une faille de sécurité majeure sur les version DRupal 6, 7 et 8.

Il est vivement reccomandé de mettre à jour vos site web.
Spols
pour les fan de rubik's cube ou pour les curieux ==> le portail francophone du rubik's cube

Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9700 Messages

29 mars 2018, 00:07

Merci Spols pour la transmission de l'info !

:arrow: Voici le lien d'info officiel avec le patch : https://www.drupal.org/sa-core-2018-002

Et pour ceux qui ont un doute sur la criticité de la faille, voici le détail :
- How difficult is it for the attacker to leverage the vulnerability? None (user visits page).
- What privilege level is required for an exploit to be successful? None (all/anonymous users).
- Does this vulnerability cause non-public data to be accessible? All non-public data is accessible.
- Can this exploit allow system data (or data handled by the system) to be compromised? All data can be modified or deleted.
:!: En résumé, il est fort probable qu'un exploit apparaisse dans les heures qui viennent et que de nombreux sites sous Drupal non mis à jour soient compromis dans les jours à venir...
Quand tout le reste a échoué, lisez le mode d'emploi...

Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 13231 Messages

29 mars 2018, 12:36

Ne concerne que Drupal 7 et 8, pas 6.
Alors, oui, être sur Drupal 6 est une faute, puisque ce n'est plus maintenu, mais bon.
Connaître son ignorance est la meilleure part de la connaissance
Pour un code lisible : n'hésitez pas à sauter des lignes et indenter

twitter - site perso - Github - Zend Certified Engineer

Avatar du membre
Administrateur PHPfrance
Administrateur PHPfrance | 9700 Messages

29 mars 2018, 15:41

La version 6 est concernée aussi par cette faille, mais contrairement aux version 7 et 8, l'éditeur ne fournit pas de patch.

Un patch non-officiel a été mis en ligne par un utilisateur sur Gist, toutefois je ne l'ai pas testé :
https://gist.github.com/paragonie-scott ... 1eb274eeef
Quand tout le reste a échoué, lisez le mode d'emploi...