CSIRT-DCP-ALE-2018-003 : Différence entre versions
(→Gestion du document) |
(→Documentations et informations techniques) |
||
| Ligne 116 : | Ligne 116 : | ||
* [https://www.drupal.org/sa-core-2018-002 SA-CORE-2018-002] | * [https://www.drupal.org/sa-core-2018-002 SA-CORE-2018-002] | ||
* [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600 CVE-2018-7600] | * [https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-7600 CVE-2018-7600] | ||
| + | * [https://groups.drupal.org/security/faq-2018-002 Foire aux questions sur la vulnérabilités CVE-2018-7600] | ||
| + | *[https://www.drupal.org/drupal-security-team/security-risk-levels-defined Security risk levels defined] | ||
==== <div style="background-color: #81BEF7">'''Gestion détaillée du document'''</div> ==== | ==== <div style="background-color: #81BEF7">'''Gestion détaillée du document'''</div> ==== | ||
* 28/03/2018 : Serge Carpentier : 1.0 : Création | * 28/03/2018 : Serge Carpentier : 1.0 : Création | ||
Version du 29 mars 2018 à 11:10
Vulnérabilité dans Drupal Core 6.x / 7.x / 8.x
CSIRT-DCP-ALE-2018-003
Sommaire
Gestion du document
|
Date de la première version : |
28/03/2018 |
|
Date de la dernière version : |
28/03/2018 |
|
Version : |
1.0 |
|
Source : |
ANSSI : Agence National de la Sécurité des Systèmes d’Information |
Risque(s) / Impact(s)
Score CVSS
|
|
|
Risque(s)
- Exécution de code arbitraire à distance
Impact(s)
- Perte de la confidentialité de la donnée
- Perte de l'intégrité de la donnée
- Perte de la disponibilté de la donnée
Résumé de la vulnérabilité ou de la menace
- Analyse technique en cours
Vecteur(s) d'infection(s) / d'attaque(s)
- Analyse technique en cours.
Système(s) affecté(s)
- LISTER LES SYSTÈMES INFECTE
Résumé
Une vulnérabilité d'exécution de code à distance existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Cela permet potentiellement aux attaquants d'exploiter plusieurs vecteurs d'attaque sur un site Drupal, ce qui pourrait entraîner la compromission complète du site.
Contre mesure(s)
Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core.
Si vous utilisez 7.x, passez à Drupal 7.58. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
Si vous exécutez 8.5.x, effectuez une mise à niveau vers Drupal 8.5.1. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)
Drupal 8.3.x et 8.4.x ne sont plus supportés. L'éditeur ne fournies généralement pas les versions de sécurité pour les versions mineures non supportées. Cependant, étant donné la gravité potentielle de ce problème, l'éditeur fournies des versions 8.3.x et 8.4.x qui incluent le correctif pour les sites qui n'ont pas encore eu la possibilité de passer à la version 8.5.0.
La page de rapport de mise à jour du CMS recommandera la version 8.5.x même si vous utilisez le format 8.3.x ou 8.4.x. Veuillez prendre le temps de mettre à jour vers une version prise en charge après l'installation de cette mise à jour de sécurité.
Si vous exécutez 8.3.x, effectuez une mise à niveau vers Drupal 8.3.9 ou appliquez ce correctif. Si vous exécutez 8.4.x, mettez à niveau versDrupal 8.4.6 ou appliquez ce correctif.
Ce problème affecte également Drupal 8.2.x et les versions antérieures, qui ne sont plus prises en charge. Si vous exécutez l'une de ces versions de Drupal 8, mettez à jour vers une version plus récente, puis suivez les instructions ci-dessus.
Ce problème affecte également Drupal 6. Drupal 6 est en fin de vie. Pour plus d'informations sur le support Drupal 6, veuillez contacter un fournisseur D6LTS.
Mesure(s) réactive(s)
- Aucune
IoC
- Aucun à la rédaction de l'alerte
Documentations et informations techniques
- PSA-2018-001
- SA-CORE-2018-002
- CVE-2018-7600
- Foire aux questions sur la vulnérabilités CVE-2018-7600
- Security risk levels defined
Gestion détaillée du document
- 28/03/2018 : Serge Carpentier : 1.0 : Création