Sur cette page: [cacher]
Votre site Web fonctionne-t-il sur Drupal? Si c'est le cas, il faut se méfier, alors que les chercheurs en sécurité ont découvert une faille de sécurité dans le système qui doit être corrigée immédiatement. La vulnérabilité, CVE-2020-13671 est critique et peut conduire à des reprises de sites si elle est exploitée avec succès. Si votre site Web fonctionne effectivement sur Drupal, vous devez également le surveiller pour les tentatives d'attaque exploitant la faille.
CVE-2020-13671 Trou critique dans les sites Drupal
Selon sa description officielle, la faille existe parce que le noyau Drupal dans sa version standard ne nettoie pas correctement les noms de fichiers spécifiques sur les fichiers téléchargés. Cette condition vulnérable pourrait conduire à des fichiers interprétés comme ayant une extension incorrecte et servant de type MIME incorrect. Les pirates peuvent également exécuter ces fichiers en PHP pour des configurations d'hébergement spécifiques. La vulnérabilité CVE-2020-13671 affecte Drupal Core 9.0 versions antérieures 9.0.8, 8.9 versions antérieures 8.9, 8.8 versions antérieures 8.8.11, et 7 versions antérieures 7.74.
En d'autres termes, un fichier malveillant peut également être interprété de la manière décrite ci-dessus. Heureusement, des correctifs sont déjà disponibles, et les administrateurs de sites Web doivent mettre à jour leurs configurations Drupal dès que possible. Drupal n'a pas confirmé si la faille avait été abusée dans la nature, mais les administrateurs doivent auditer les fichiers précédemment téléchargés pour rechercher des extensions malveillantes. Si vous ne savez pas où chercher, recherchez les fichiers qui incluent plus d'une extension, comme filename.php.txt ou filename.html.gif, sans trait de soulignement (_) dans l'extension.
"Faites particulièrement attention aux extensions de fichier suivantes, qui doit être considéré comme dangereux même s'il est suivi d'une ou plusieurs extensions supplémentaires: phar, php, PL, py, cgi, aspic, js, html, htm, phtml. cette liste n'est pas exhaustive, ainsi évaluer les problèmes de sécurité pour d'autres extensions non intégrées au cas par cas," Drupal a déclaré dans son avis.
En savoir plus sur Drupal
Drupal est un CMS gratuit et open-source. C'est le quatrième système de gestion de contenu le plus courant après WordPress, Shopify, et Joomla. Des attaques contre des sites exécutant Drupal ont eu lieu dans le passé. Si votre site Web fonctionne sur ce CMS, attention, la version 7.x de Drupal atteindra sa fin de vie en novembre de l'année prochaine. Vous voudrez peut-être commencer à planifier votre mise à jour avant qu’il ne soit trop tard.
Récemment, nous avons écrit sur certaines vulnérabilités mis en danger des millions de sites WordPress. N'oubliez pas de vérifier tous les plugins installés, widgets, et autres applis, et assurez-vous qu'ils fonctionnent sur les dernières versions possibles. La règle s'applique à tout système de gestion de contenu.