Drupal, le système populaire de gestion de contenu open-source, a publié des mises à jour de sécurité pour répondre aux multiples vulnérabilités “modérément critiques” de Drupal Core qui pourraient permettre aux attaquants à distance de compromettre la sécurité de centaines de milliers de sites Web.


Selon les avis publiés aujourd’hui par les développeurs Drupal, toutes les vulnérabilités de sécurité que Drupal a corrigées ce mois-ci résident dans des bibliothèques tierces qui sont incluses dans Drupal 8.6, Drupal 8.5 ou antérieur et Drupal 7.


L’une des failles de sécurité est une vulnérabilité XSS (Cross-site Scripting) qui réside dans un plugin tiers, appelé JQuery, la bibliothèque JavaScript la plus populaire qui est utilisée par des millions de sites Web et est également pré-intégrée dans Drupal Core.


La semaine dernière, JQuery a publié sa dernière version jQuery 3.4.0 pour corriger la vulnérabilité signalée, qui n’a pas encore attribué de numéro CVE, qui affecte toutes les versions antérieures de la bibliothèque à cette date.


jQuery 3.4.0 inclut une correction pour certains comportements involontaires lors de l’utilisation de jQuery.extend(true, {}, ….). Si un objet source non assaini contenait une propriété proto énumérable, il pourrait étendre l’objet natif.prototype “, explique l’avis.
“Il est possible que cette vulnérabilité soit exploitable avec certains modules Drupal.”


Les trois autres vulnérabilités de sécurité résident dans les composants PHP de Symfony utilisés par Drupal Core qui pourraient entraîner des attaques de scripts intersites (CVE-2019-10909), d’exécution de code à distance (CVE-2019-10910) et de dérivation d’authentification (CVE-2019-1091).


Compte tenu de la popularité des exploits de Drupal auprès des pirates, il est fortement recommandé d’installer la dernière mise à jour du CMS dès que possible :
Si vous utilisez Drupal 8.6, mettez à jour vers Drupal 8.6.15.
Si vous utilisez Drupal 8.5 ou une version antérieure, mettez à jour vers Drupal 8.5.15.


Si vous utilisez Drupal 7, mettez à jour vers Drupal 7.66.
Il y a presque deux mois, les responsables de la maintenance de Drupal ont corrigé une vulnérabilité RCE critique dans Drupal Core sans publier aucun détail technique de la faille qui aurait pu permettre aux attaquants distants de pirater le site Web de ses clients.

Mais malgré cela, le code d’exploitation de preuve de concept (PoC) pour la vulnérabilité a été rendu public sur Internet deux jours seulement après que l’équipe a déployé la version corrigée de son logiciel.
Et puis, plusieurs individus et groupes de pirates ont commencé à exploiter activement la faille pour installer des mineurs de cryptocurrency sur des sites Drupal vulnérables qui n’ont pas mis à jour leurs CMS à la dernière version.


L’année dernière, les attaquants ont également ciblé des centaines de milliers de sites Web Drupal lors d’attaques de masse utilisant dans la nature des exploits exploitant deux vulnérabilités d’exécution de code à distance distinctes, qui ont été baptisées Drupalgeddon2 et Drupalgeddon3.
Dans ces cas également, les attaques ont commencé peu après la publication sur Internet du code d’exploitation PoC pour les deux vulnérabilités, qui a ensuite été suivie par des tentatives d’analyse et d’exploitation à grande échelle sur Internet.
Longue histoire court-patch vos sites Web avant qu’il ne soit trop tard.