Une nouvelle vulnérabilité très critique, identifié comme CVE-2019-6340, vient d'être découverte dans Drupal, et, heureusement, il est déjà fixé dans la dernière version du système de gestion de contenu.
Si vous utilisez Drupal 7, aucune mise à jour de base est requis, mais vous devrez peut-être mettre à jour les modules ont contribué si vous utilisez un module concerné. Nous sommes incapables de fournir la liste de ces modules à ce moment, Drupal a déclaré dans l'avis de sécurité.
CVE-2019-6340 Reprise technique
CVE-2019-6340 est un défaut d'exécution de code à distance dans Drupal Core qui pourrait conduire à du code PHP arbitraire exécution dans des cas particuliers. Pas assez de détails techniques sont disponibles sur la vulnérabilité. Ce qui est connu est que la faille est déclenchée parce que certains types de champs ne désinfectent pas correctement les données provenant de sources non-forme. Le bogue affecte Drupal 7 et Drupal 8, l'équipe a déclaré.
Un site Web basé sur Drupal est seulement exploitable dans le cas où les services Web RESTful (du repos) le module est activé permet à des demandes de patch ou POST. Le défaut est également déclenché lorsqu'un autre module de service Web est activé.
Comment CVE-2019-6340 atténué?
Pour atténuer la vulnérabilité, les utilisateurs concernés peuvent désactiver tous les services Web modules, ou configurer leur serveur Web(s) de ne pas autoriser les requêtes PUT / PATCH / POST aux ressources de services Web. Gardez à l'esprit que les ressources de services Web peuvent être disponibles sur plusieurs chemins d'accès en fonction de la configuration du serveur correspondant(s).
pour Drupal 7, les ressources sont par exemple généralement disponibles via des chemins (URL propres) et par l'intermédiaire d'arguments de la “q” argument de la requête. pour Drupal 8, les chemins peuvent encore fonctionner préfixés avec index.php /, le dit consultatif.
Un autre bug d'exécution de code à distance dans Drupal, appelé Drupalgeddon2, a été exploitée en Octobre l'année dernière. Un collectif criminel inconnu profitait d'un vieux bug de sécurité suivi dans l'avis CVE-2018-7600 qui a déjà été patché dans 2017. Cette tentative d'intrusion a été appelé l'attaque Drupalgeddon2 et selon les recherches disponibles, il a permis des pirates d'exploiter les sites vulnérables et prendre le contrôle total, y compris l'accès aux données privées.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: