CSIRT-DCP-ALE-2018-003 : Différence entre versions

De Docaposte Cyberdéfense
Aller à : navigation, rechercher
(Contre mesure(s))
(Contre mesure(s))
Ligne 88 : Ligne 88 :
 
Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core.
 
Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core.
  
Si vous utilisez 7.x, passez à [https://www.drupal.org/project/drupal/releases/7.58 Drupal 7.58]. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [ce correctif https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
+
Si vous utilisez 7.x, passez à [https://www.drupal.org/project/drupal/releases/7.58 Drupal 7.58]. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [https://cgit.drupalcode.org/drupal/rawdiff/?h=7.x&id=2266d2a83db50e2f97682d9a0fb8a18e2722cba5 ce correctif ] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
  
 
Si vous exécutez 8.5.x, effectuez une mise à niveau vers [https://www.drupal.org/project/drupal/releases/8.5.1 Drupal 8.5.1]. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f ce correctif] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
 
Si vous exécutez 8.5.x, effectuez une mise à niveau vers [https://www.drupal.org/project/drupal/releases/8.5.1 Drupal 8.5.1]. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer [https://cgit.drupalcode.org/drupal/rawdiff/?h=8.5.x&id=5ac8738fa69df34a0635f0907d661b509ff9a28f ce correctif] pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)

Version du 28 mars 2018 à 23:06

Bulletin d'alerte de sécurité du CSIRT DOCAPOST

Vulnérabilité dans Drupal Core 6.x / 7.x / 8.x
CSIRT-DCP-ALE-2018-003


Télécharger la version PDF

Gestion du document

Date de la première version :

28/03/2018

Date de la dernière version :

28/03/2018

Version :

1.0

Source :

Editeur Drupal

Risque(s) / Impact(s)

Score CVSS

Score.png

Score de base :9.6AV:Réseau / AC:Bas / Au:Aucun / C:Complète / I:Complète / A:Complète

Score temporel :X.XE:X / RL:X / RC:X

Score Environmental :X.XCDP:XX / TD:X / CR:X / IR:XX / AR:XX


Risque(s)
  • Execution de code à distance
Impact(s)
  • Perte de la confidentialité de la donnée
  • Perte de l'intégrité de la donnée
  • Perte de la disponibilté de la donnée

Résumé de la vulnérabilité ou de la menace

  • Analyse technique en cours

Vecteur(s) d'infection(s) / d'attaque(s)

  • Analyse technique en cours.

Système(s) affecté(s)

  • LISTER LES SYSTÈMES INFECTE

Résumé

Une vulnérabilité d'exécution de code à distance existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Cela permet potentiellement aux attaquants d'exploiter plusieurs vecteurs d'attaque sur un site Drupal, ce qui pourrait entraîner la compromission complète du site.

Contre mesure(s)

Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core.

Si vous utilisez 7.x, passez à Drupal 7.58. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)

Si vous exécutez 8.5.x, effectuez une mise à niveau vers Drupal 8.5.1. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)

Drupal 8.3.x et 8.4.x ne sont plus supportés. L'éditeur ne fournies généralement pas les versions de sécurité pour les versions mineures non supportées. Cependant, étant donné la gravité potentielle de ce problème, l'éditeur fournies des versions 8.3.x et 8.4.x qui incluent le correctif pour les sites qui n'ont pas encore eu la possibilité de passer à la version 8.5.0.

La page de rapport de mise à jour du CMS recommandera la version 8.5.x même si vous utilisez le format 8.3.x ou 8.4.x. Veuillez prendre le temps de mettre à jour vers une version prise en charge après l'installation de cette mise à jour de sécurité.

Si vous exécutez 8.3.x, effectuez une mise à niveau vers Drupal 8.3.9 ou appliquez ce correctif. Si vous exécutez 8.4.x, mettez à niveau versDrupal 8.4.6 ou appliquez ce correctif.

Ce problème affecte également Drupal 8.2.x et les versions antérieures, qui ne sont plus prises en charge. Si vous exécutez l'une de ces versions de Drupal 8, mettez à jour vers une version plus récente, puis suivez les instructions ci-dessus.

Ce problème affecte également Drupal 6. Drupal 6 est en fin de vie. Pour plus d'informations sur le support Drupal 6, veuillez contacter un fournisseur D6LTS.

Mesure(s) réactive(s)

  • Aucune

IoC

  • Aucun à la rédaction de l'alerte

Documentations et informations techniques

Gestion détaillée du document

  • 28/03/2018 : Serge Carpentier : 1.0 : Création
Récupérée de « https://csirt.docapost.fr/index.php?title=CSIRT-DCP-ALE-2018-003&oldid=1298 »