ALERTE - Vulnérabilité dans Drupal (29.03.18)

Avis et alertes de sécurité au jour le jour (aucune question posée dans ce sous-forum)

Modérateur: Modérateurs et Modératrices

ALERTE - Vulnérabilité dans Drupal (29.03.18)

Messagede pierre » 29 03 2018

Vulnérabilité dans Drupal (corrigées le 29 mars 2018)

Version initiale de l'avis
29 mars 2018

Source(s)
Voir Documentation

Risque(s)
Exécution de code arbitraire à distance

Systèmes affectés
Drupal toutes versions sans le dernier correctif de sécurité

Résumé
Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Drupal SA-CORE-2018-002 du 28 mars 2018
https://www.drupal.org/sa-core-2018-002

Foire aux questions sur la vulnérabilités CVE-2018-7600
https://groups.drupal.org/security/faq-2018-002

Référence CVE CVE-2018-7600
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7600


Mise à jour :


Risque(s)
Exécution de code arbitraire à distance
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés
Drupal versions 8.5.x antérieures à 8.5.1
Drupal versions 8.4.x antérieures à 8.4.6
Drupal versions 8.3.x antérieures à 8.3.9
Drupal versions 7.x antérieures à 7.58
Drupal version 6

Résumé
Le 28 mars 2018, l'éditeur du système de gestion de contenu Drupal a publié un avis de sécurité concernant une vulnérabilité critique dans Drupal core. L'avis SA-CORE-2018-002 indique que les systèmes Drupal en versions 7.x, 8.5.x, mais également les systèmes n'étant plus supportés (version 8.3.x, 8.4.x et 6), sont affectés par une vulnérabilité hautement critique pouvant mener à la compromission complète d'un site web basé sur Drupal.

Cette vulnérabilité, identifiée en tant que CVE-2018-7600, permettrait à un visiteur d'un site vulnérable d'accéder à toutes les données contenues sur le site, de les modifier et de les supprimer, et ce sans authentification.

Le CERT-FR recommande d'appliquer au plus tôt les correctifs de sécurité mis à disposition par Drupal.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Drupal SA-CORE-2018-002 du 28 mars 2018
https://www.drupal.org/sa-core-2018-002

Foire aux questions Drupal pour l'avis de sécurité SA-CORE-2018-002
https://groups.drupal.org/security/faq-2018-002

Avis CERT-FR CERTFR-2018-AVI-158 Vulnérabilité dans Drupal
http://www.cert.ssi.gouv.fr/site/CERTFR-2018-AVI-158

Référence CVE CVE-2018-7600
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7600
Avatar de l’utilisateur
pierre
 
Messages: 23120
Inscription: 20 05 2002
Localisation: Ici et maintenant

Re: ALERTE - Vulnérabilité dans Drupal (29.03.18)

Messagede pierre » 20 04 2018

Réouverture de l'alerte suite à la production d'un POC (Proof Of Concept)


Risque(s)
Exécution de code arbitraire à distance
Atteinte à l'intégrité des données
Atteinte à la confidentialité des données

Systèmes affectés
Drupal versions 8.5.x antérieures à 8.5.1
Drupal versions 8.4.x antérieures à 8.4.6
Drupal versions 8.3.x antérieures à 8.3.9
Drupal versions 7.x antérieures à 7.58
Drupal version 6

Résumé
Le 28 mars 2018, l'éditeur du système de gestion de contenu Drupal a publié un avis de sécurité concernant une vulnérabilité critique dans Drupal core. L'avis SA-CORE-2018-002 indique que les systèmes Drupal en versions 7.x, 8.5.x, mais également les systèmes n'étant plus supportés (version 8.3.x, 8.4.x et 6), sont affectés par une vulnérabilité hautement critique pouvant mener à la compromission complète d'un site web basé sur Drupal.

Cette vulnérabilité, identifiée en tant que CVE-2018-7600, permettrait à un visiteur d'un site vulnérable d'accéder à toutes les données contenues sur le site, de les modifier et de les supprimer, et ce sans authentification.

Le CERT-FR recommande d'appliquer au plus tôt les correctifs de sécurité mis à disposition par Drupal.

[ Mise à jour du 16 avril 2018]
Le 12 avril 2018, une preuve de concept exploitant la vulnérabilité CVE-2018-7600 a été publiée publiquement sur Github. Depuis, le CERT-FR constate des tentatives d'exploitation.

Au vu de la facilité d'exploitation et de la criticité de cette vulnérabilité, le CERT-FR a décidé de rouvrir l'alerte CERTFR-2018-ALE-005 et rappelle qu'il est nécessaire d'appliquer les correctifs déjà disponibles immédiatement.

Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation
Bulletin de sécurité Drupal SA-CORE-2018-002 du 28 mars 2018
https://www.drupal.org/sa-core-2018-002

Foire aux questions Drupal pour l'avis de sécurité SA-CORE-2018-002
https://groups.drupal.org/security/faq-2018-002

Avis CERT-FR CERTFR-2018-AVI-158 Vulnérabilité dans Drupal
http://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-158

Billet de blogue SANS
https://isc.sans.edu/forums/diary/Drupa ... lic/23549/

Billet de blogue Checkpoint
https://research.checkpoint.com/uncover ... lgeddon-2/

Référence CVE CVE-2018-7600
http://cve.mitre.org/cgi-bin/cvename.cg ... -2018-7600
Avatar de l’utilisateur
pierre
 
Messages: 23120
Inscription: 20 05 2002
Localisation: Ici et maintenant


Retourner vers Alertes

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 2 invités