Fin mars, nous vous avions alerté sur la présence d’une faille dans le CMS Drupal.
Une nouvelle faille très critique nécessite une mise à jour.

Deux failles liées

Cette faille d’exécution de code distant existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Elle permet potentiellement aux attaquants d’exploiter plusieurs vecteurs d’attaque sur un site Drupal, ce qui pourrait compromettre le site.
Cette vulnérabilité est liée à la faille dont nous vous parlions déjà : Drupal 7 et 8, mise à jour de sécurité extrêmement critique.
Les deux failles (SA-CORE-2018-002 et SA-CORE-2018-004) sont exploitées.

Plusieurs version touchées

La seule solution est de mettre à jour votre moteur Drupal :
– Si vous utilisez une version 7.x, mettez à jour vers Drupal 7.59
– Si vous utilisez une version 8.5.x, mettez à jour vers Drupal 8.5.3
– Si vous utilisez une version 8.4.x, mettez à jour vers Drupal 8.4.8 ((Drupal 8.4.x n’est plus supporté et l’équipe Drupal ne fournit pas de versions de sécurité pour les versions mineures non supportées, mais ils fournissent cette version 8.4.x afin que les sites puissent être mis à jour le plus rapidement possible. Vous devez immédiatement mettre à jour vers la version 8.4.8, puis mettre à jour vers la version 8.5.3 ou la dernière version sécurisée dès que possible.)

Des patchs disponibles

Si vous n’avez pas la possibilité de mettre à jour rapidement, ou si vous utilisez une distribution de Drupal qui n’inclut pas encore cette mise à jour de sécurité, vous pouvez tenter d’appliquer ce patch pour corriger la vulnérabilité jusqu’à ce que vous soyez en mesure de d’appliquer la mise à jour complète :
– Patch pour Drupal 8.x (8.5.x et en-dessous)
– Patch pour Drupal 7.x

Ces patchs ne fonctionneront que si votre site a déjà reçu le correctif SA-CORE-2018-002.
Si ce n’est pas le cas, il est sans doute déjà compromis.