Trois failles de sécurité Drupal, une critique et une exploitée viennent d’être patchées par l’équipe Drupal mercredi 21 Juin 2017 Drupal .
Drupal 7.56 and 8.3.4 are security releases. Update your sites. https://t.co/ik3TB2YJtt
— Drupal Security (@drupalsecurity) June 21, 2017
La faille la plus critique, et touchée par l’update, porte les versions de Drupal 8 à la version 8.3.4 et de Drupal 7 à Drupal 7.5.6. Elle exploite le parser YAML, PECL, qui permet d’exécuter du code à distance. C’est une faille interne au cœur / core Drupal.
Les deux autres failles (REST ressource et l’upload de fichier en anonyme) , moins critiques, affectent seulement les sites qui autorisent le téléchargement de fichiers par des utilisateurs anonymes ou encore les sites qui ont le module RESTful Web Services activée avec des permissions particulières. Ce qui fait de ces deux dernières, des failles plus difficiles à exploiter.
Comme c’est une update security, Drupal recommende vivement de mettre à jour les versions Drupal 7.x en dessous de 7.5.6 et Drupal 8.x en dessous de 8.3.4.
Besoin d’une équipe Drupal pour vous accompagner ? Drupal experts contact.