CSIRT-DCP-ALE-2018-003 : Différence entre versions
(→Mesure(s) réactive(s)) |
(→Contre mesure(s)) |
||
| Ligne 86 : | Ligne 86 : | ||
==== <div style="background-color: #81BEF7">'''Contre mesure(s)'''</div> ==== | ==== <div style="background-color: #81BEF7">'''Contre mesure(s)'''</div> ==== | ||
| − | + | Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core. | |
| + | |||
| + | Si vous utilisez 7.x, passez à [https://www.drupal.org/project/drupal/releases/7.58 Drupal 7.58]. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [ce correctif https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.) | ||
| + | |||
| + | Si vous exécutez 8.5.x, effectuez une mise à niveau vers [https://www.drupal.org/project/drupal/releases/8.5.1 Drupal 8.5.1]. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f ce correctif] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.) | ||
| + | |||
| + | Drupal 8.3.x et 8.4.x ne sont plus supportés. L'éditeur ne fournies généralement pas les versions de sécurité pour les versions mineures non supportées. Cependant, étant donné la gravité potentielle de ce problème, l'éditeur fournies des versions 8.3.x et 8.4.x qui incluent le correctif pour les sites qui n'ont pas encore eu la possibilité de passer à la version 8.5.0. | ||
| + | |||
| + | La page de rapport de mise à jour du CMS recommandera la version 8.5.x même si vous utilisez le format 8.3.x ou 8.4.x. Veuillez prendre le temps de mettre à jour vers une version prise en charge après l'installation de cette mise à jour de sécurité. | ||
| + | |||
| + | Si vous exécutez 8.3.x, effectuez une mise à niveau vers [https://www.drupal.org/project/drupal/releases/8.3.9 Drupal 8.3.9] ou appliquez [https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f ce correctif]. | ||
| + | Si vous exécutez 8.4.x, mettez à niveau vers[https://www.drupal.org/project/drupal/releases/8.4.6 Drupal 8.4.6] ou appliquez [https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f ce correctif]. | ||
| + | |||
| + | Ce problème affecte également Drupal 8.2.x et les versions antérieures, qui ne sont plus prises en charge. Si vous exécutez l'une de ces versions de Drupal 8, mettez à jour vers une version plus récente, puis suivez les instructions ci-dessus. | ||
| + | |||
| + | Ce problème affecte également Drupal 6. Drupal 6 est en fin de vie. Pour plus d'informations sur le support Drupal 6, veuillez contacter [https://www.drupal.org/project/d6lts un fournisseur D6LTS]. | ||
==== <div style="background-color: #81BEF7">'''Mesure(s) réactive(s)'''</div> ==== | ==== <div style="background-color: #81BEF7">'''Mesure(s) réactive(s)'''</div> ==== | ||
Version du 28 mars 2018 à 22:53
Vulnérabilité dans Drupal Core 6.x / 7.x / 8.x
CSIRT-DCP-ALE-2018-003
Sommaire
Gestion du document
|
Date de la première version : |
28/03/2018 |
|
Date de la dernière version : |
28/03/2018 |
|
Version : |
1.0 |
|
Source : |
Editeur Drupal |
Risque(s) / Impact(s)
Score CVSS
|
|
|
Risque(s)
- Execution de code à distance
Impact(s)
- Perte de la confidentialité de la donnée
- Perte de l'intégrité de la donnée
- Perte de la disponibilté de la donnée
Résumé de la vulnérabilité ou de la menace
- Analyse technique en cours
Vecteur(s) d'infection(s) / d'attaque(s)
- Analyse technique en cours.
Système(s) affecté(s)
- LISTER LES SYSTÈMES INFECTE
Résumé
Une vulnérabilité d'exécution de code à distance existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Cela permet potentiellement aux attaquants d'exploiter plusieurs vecteurs d'attaque sur un site Drupal, ce qui pourrait entraîner la compromission complète du site.
Contre mesure(s)
Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core.
Si vous utilisez 7.x, passez à Drupal 7.58. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [ce correctif https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
Si vous exécutez 8.5.x, effectuez une mise à niveau vers Drupal 8.5.1. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
Drupal 8.3.x et 8.4.x ne sont plus supportés. L'éditeur ne fournies généralement pas les versions de sécurité pour les versions mineures non supportées. Cependant, étant donné la gravité potentielle de ce problème, l'éditeur fournies des versions 8.3.x et 8.4.x qui incluent le correctif pour les sites qui n'ont pas encore eu la possibilité de passer à la version 8.5.0.
La page de rapport de mise à jour du CMS recommandera la version 8.5.x même si vous utilisez le format 8.3.x ou 8.4.x. Veuillez prendre le temps de mettre à jour vers une version prise en charge après l'installation de cette mise à jour de sécurité.
Si vous exécutez 8.3.x, effectuez une mise à niveau vers Drupal 8.3.9 ou appliquez ce correctif. Si vous exécutez 8.4.x, mettez à niveau versDrupal 8.4.6 ou appliquez ce correctif.
Ce problème affecte également Drupal 8.2.x et les versions antérieures, qui ne sont plus prises en charge. Si vous exécutez l'une de ces versions de Drupal 8, mettez à jour vers une version plus récente, puis suivez les instructions ci-dessus.
Ce problème affecte également Drupal 6. Drupal 6 est en fin de vie. Pour plus d'informations sur le support Drupal 6, veuillez contacter un fournisseur D6LTS.
Mesure(s) réactive(s)
- Aucune
IoC
- Aucun à la rédaction de l'alerte
Documentations et informations techniques
Gestion détaillée du document
- 28/03/2018 : Serge Carpentier : 1.0 : Création