L’équipe de sécurité du célèbre Drupal a annoncé une mise à jour exceptionnelle pour ce mercredi 28 mars entre 18h00 et 19h30 UTC, soit entre 20h00 et 21h30 en France métropolitaine.
Une importante faille de sécurité, plusieurs versions concernées
Une faille critique a été découverte dans le CMS sans que nous n’ayons plus d’informations pour le moment, ce que l’on peut comprendre. L’objectif étant de ne pas donner trop de pistes aux pirates qui voudraient exploiter cette faille et ils sont légions.
Le communiqué de Drupal avertit qu’il faudra être en mesure de mettre à jour rapidement car les outils d’exploitation de la faille pourront être développés rapidement dans les heures qui suivent la mise à jour et donc la divulgation de la faille.
Nous vous recommandons donc d’être prêts et d’appliquer la mise à jour au plus vite.
Vous trouverez plus d’informations sur la faille et le correctif ici (en anglais) : https://www.drupal.org/sa-core-2018-002.
La mise à jour concerne les versions 7.x, 8.3.x, 8.3.x, 8.4.x, et 8.5.x.
Drupal 8.3.x et 8.4.x n’étant plus supportés, aucune mise à jour de sécurité n’est habituellement effectuée. Mais étant donné la gravité potentielle de la faille, l’équipe de sécurité de Drupal a décidé de les fournir malgré tout.
Voici leurs recommandations :
– Les sites sous Drupal 8.3.x doivent immédiatement être mis à jour vers la version 8.3.x qui sera fournie dans l’avis, puis prévoir de mettre à jour la dernière version de sécurité 8.5.x sous un mois.
– Les sites sous Drupal 8.4.x doivent immédiatement être mis à jour vers la version 8.4.x qui sera fournie dans l’avis, puis prévoir de mettre à jour la dernière version de sécurité 8.5.x sous un mois.
– Les sites sous Drupal 7.x ou 8.5.x peuvent être immédiatement mis à jour lorsque l’avis est publié en utilisant la procédure normale.
L’avis de sécurité indiquera les numéros de version appropriés pour les trois branches de Drupal 8. La page de rapport de mise à jour de votre site recommandera la version 8.5.x même si vous êtes sur 8.3.x ou 8.4.x, mais la mise à jour temporaire pour la version actuelle de votre site vous assurera une mise à jour rapide sans les effets secondaires possibles d’une mise à jour de version mineure.
Cela ne nécessitera pas de mise à jour de la base de données.
Il est à noter que les versions antérieures à la 7.x ne recevront pas de mise à jour. Il est donc primordial de changer de branche pour ne plus avoir de version inférieure à 7.x en ligne. Il est souhaitable dans la mesure du possible de passer rapidement à la version 8.5.
Si vous êtes hébergé chez Icodia
Icodia a averti tous ses clients utilisant le CMS.
De votre côté, n’hésitez pas à transmettre l’information.