CMS : des attaquants pourraient prendre le contrôle de Drupal

Une faille dans une bibliothèque tierce aurait permis au CMS Drupal de permettre à des attaquants de prendre le contrôle du système. Des mises à jour sont disponibles pour corriger le problème.

Drupal fournit le composant Guzzle, qui gère les requêtes et les réponses HTTP avec des services externes. Les développeurs de Guzzle ont colmaté une faille de sécurité lors du traitement des en-têtes dans la bibliothèque, par laquelle des attaquants auraient pu introduire des caractères New-Line et des valeurs non fiables. Dans leur message de sécurité, les mainteneurs de Guzzle estiment que le risque est faible.

Dans le Security Advisory des développeurs Drupal, ces derniers considèrent le risque de la faille comme moyen. Elle concerne Drupal avant les versions 9.3.9 et 9.2.16 ainsi que le 8er, mais celle-ci est arrivée en fin de vie (EOL). Il n’y a donc plus de mise à jour pour Drupal 8 ; les utilisateurs de l’ancienne version doivent passer d’urgence à une version prise en charge. Drupal 7 est en revanche épargné par cette faille de sécurité.

L’agence américaine de cybersécurité CISA explique les conséquences de cette faille de sécurité. Les attaquants pourraient exploiter la faille pour prendre le contrôle d’un système affecté. Elle considère donc les mises à jour disponibles comme « nécessaires ». Toutefois, aucune des parties impliquées n’explique plus précisément à quoi ressemblerait une attaque concrète, par exemple une requête HTTP manipulée qui abuserait de la faille de sécurité.

Dans les notes de publication, les développeurs de Drupal exhortent les utilisateurs et les administrateurs à installer immédiatement la mise à jour. Les versions corrigées 9.3.9 et 9.2.16 peuvent être téléchargées sur le site web du projet.

Lire aussi

Page thématique sur Drupal sur heise online