Skip to content

Drupal 7.52 | 8.2.3 – Mis à jour de sécurité moyenne

4 nouvelles failles de sécurité sont à combler sur vos sites Drupal !

L’équipe de sécurité a mis à jour le core en version 7.52 pour Drupal 7 et en 8.2.3 pour Drupal 8.
La mis à jour signalée comme modérément critique (13/25) sortie le mercredi 16 Novembre 2016 fixe 4 vulnérabilités.
2 sont présentes seulement sur D7 et 3 sur D8. L’une d’entre elles est donc disponible sur les deux versions de Drupal.

Criticité moyenne

L’une des deux plus urgentes concerne la version 8, une faille dans le mécanisme de translittération permet à une URL formatée d’une manière spéciale de mettre le site hors ligne (déni de service). La translittération permet de nettoyer les noms des fichiers sur Drupal, générer les machines names, ou de url propre vers les contenus. Le but est de retirer tout caractères spéciaux et les remplacer par leurs équivalents. Exemple, un “é” en “e”.

L’autre faille de sécurité la plus importante concerne elle Drupal 7. Apparemment, dans certaines circonstances un utilisateur malveillant pourrait construire sa propre URL de soumission pour un formulaire. L’utilisateur lambda pourrait être redirigé sur un site tiers non officiel et abusé de sa confiance (social engineering/manipulation humaine).

Criticité Faible

Une faille concerne D8, où le cache de la page de réinitialisation de mot de passe était apparemment défini sous de mauvaises conditions de réinitialisation. La page peut afficher du contenu indésirable.

La dernière faille concerne D7 et D8, les hook permettant de surcharger les requêtes afin de récupérer des informations supplémentaires depuis la base de données (hook_query_alter, …) permettraient aux utilisateurs malveillants de récupérer des informations sur les term de taxonomies. La gestion de la restriction était faite sur le tag term_access et non taxonomy_term_access.

 

Il est bien sûr conseillé de mettre vos sites à jour.

Source : SA-CORE-2016-005

Partager c'est remercier !