L’équipe de sécurité de Drupal a annoncé mercredi l’existence de quatre failles de sécurité sur les versions 7.x, 8.7.x et 8.8.x du CMS.
Ces failles permettent à un attaquant de contourner des limitations de droits d’accès à la bibliothèque de media, d’uploader des fichiers dans n’importe quelle extension (donc potentiellement des scripts malveillants) ou encore de rendre le site indisponible en utilisant la méthode du déni de service.
La vulnérabilité la plus critique provient de l’utilisation de la librairie Archive_Tar qui peut impacter des configurations Drupal, si ces dernières autorisent l’upload de fichiers en .tar, .tar.gz, .bz2 ou .tlz.
Que faire ?
Il est très important de mettre à jour votre site Drupal dans la dernière version de sa branche :
- Si votre site est sous Drupal 7.x : faites la mise à jours vers Drupal 7.69.
- Si votre site est sous Drupal 8.7.x : faites la mise à jours vers Drupal 8.7.11.
- Si votre site est sous Drupal 8.8.x : faites la mise à jours vers Drupal 8.8.1.
À noter que les versions de Drupal antérieures à la version 8.7.x sont en fin de vie et ne font plus l’objet d’aucune mise à jour de sécurité.
Vous n’êtes pas en mesure faire cette mise à jour ?
Si vous ne disposez pas des compétences techniques pour mettre votre site à jour, notre service développement peut vous proposer une prestation de mise à jour du moteur Drupal et de ses modules.
=> N’hésitez pas à nous contacter, nos techniciens sont à votre disposition.
Pour en savoir plus, vous pouvez consulter les bulletins publiés par l’équipe de sécurité de Drupal :
.