CMS Drupal : vulnérabilité critique, mise à jour disponible !

L’équipe sécurité du CMS Drupal vient de sortir une mise à jour critique du logiciel.

Les utilisateurs avec des sites internet sous Drupal 6 ou Drupal 7, sont priés de mettre à jour leurs systèmes immédiatement !

L’avertissement, expliquant les problèmes qui ont été résolus, est désigné ainsi : DRUPAL-SA-CORE-2015-002, et signale une vulnérabilité, jugée critique, dans le module «OpenID», avec 3 autres failles de sécurité qualifiées de moins critiques.

[vc_row][vc_column width=”1/1″][vc_message color=”alert-info”]

Pour être plus précis, les vulnérabilités en question sont officiellement désignées comme suit : CVE-2015-3234 (critique), CVE-2015-3232, CVE-2015-3233 et CVE-2015-3231 (moins critiques).

[/vc_message][/vc_column][/vc_row]

Les utilisateurs sous Drupal 6, doivent migrer vers la version 6.36, et ceux sous Drupal 7 doivent évoluer vers la version 7.38.

Toutes les versions antérieures du CMS Drupal sont vulnérables.

La faille “Login as Anyone”

Le problème le plus sérieux, exposé dans l’avertissement, concerne une vulnérabilité dans le module OpenID du CMS Drupal : une extension à inscription unique, qui permet aux utilisateurs de se connecter en utilisant OpenID :

D’éventuels hackers peuvent exploiter ce bug, en se subtilisant à d’autres utilisateurs, y compris les administrateurs aux droits étendus, et ainsi prendre le contrôle d’un site, qui ne serait pas encore patché.

Les sites internet avec un module OpenID installé, doivent afficher l’option «Log in with OpenID», en dessous des champs de l’identifiant et du mot de passe, au niveau de la page de connexion.

Les autres problèmes

Les 3 autres bugs moins critiques, comprennent notamment 2 failles «open redirect» : l’une qui permet à des hackers de rediriger des utilisateurs insouciants vers des sites internet bidons, et une autre qui permet à des utilisateurs d’avoir, entre eux, des accès non autorisés aux données personnelles.

Le CMS Drupal est le troisième plus populaire dans le monde, utilisé par seulement 2% des sites internet.

Même si 2% semble dérisoire, cela concerne tout de même environ 10 millions de sites internet utilisant le CMS Drupal.

Le CMS Drupal est un système efficace et mature, avec une sécurité des plus correctes, ce qui en fait une cible privilégiée pour les cybercriminels.

Course contre la montre

Lorsqu’une vulnérabilité est détectée, une course contre la montre s’engage alors.

Les administrateurs doivent absolument patcher leurs systèmes, avant que des cybercriminels ne produisent des outils automatiques permettant de trouver et d’attaquer les sites internet vulnérables.

En octobre 2014, des attaques automatisées sont apparues quelques heures seulement après qu’un avertissement hautement critique n’ait été diffusé, amenant l’équipe sécurité du CMS Drupal à faire cette déclaration plutôt surprenante :

Si vous dormiez durant ces 7 heures, très critiques, alors dommage pour vous !

Ainsi la mise à jour d’octobre 2014 a montré qu’une seule alerte passive n’était pas suffisante pour un logiciel si répandu et si largement utilisé.

Un site internet corrompu, n’est pas seulement un problème pour les propriétaires mais c’est un problème pour nous tous.

La santé de l’écosystème dans sa globalité est importante, et pas seulement la santé des sites considérés individuellement.

Quoi faire ?

Le CMS Drupal a vraiment besoin d’un mécanisme pour le déploiement automatisé des mises à jour sécurité critiques.

Les utilisateurs techniquement expérimentés pourront gérer leurs mises à jour, grâce aux outils de ligne de commande tels Drush. Cependant, beaucoup de gens utilisent le CMS Drupal car, justement, ils peuvent s’en sortir sans connaissance technique approfondie.

Une solution active-par-défaut, modelée sur le système de mises à jour automatiques de WordPress, fournirait une meilleure protection pour les utilisateurs non-techniques, et permettrait en la désactivant de laisser aux utilisateurs avertis les pleins pouvoirs pour faire leurs actions librement.

Pour l’instant, néanmoins, vous devez mettre à jour votre CMS Drupal par vos propres moyens.

Billet inspiré de : “Critical Drupal vulnerability patched — update your website now” par Mark Stockley de Naked Security

Partagez “CMS Drupal : vulnérabilité critique, mise à jour disponible !” avec http://wp.me/p2YJS1-1V3