CSIRT-DCP-ALE-2018-003

Gestion du document

Risque(s) / Impact(s)

Score CVSS

Risque(s)

• Exécution de code arbitraire à distance

Impact(s)

• Perte de la confidentialité de la donnée
• Perte de l'intégrité de la donnée
• Perte de la disponibilté de la donnée

Résumé de la vulnérabilité ou de la menace

• Analyse technique en cours

Vecteur(s) d'infection(s) / d'attaque(s)

• Analyse technique en cours.

Système(s) affecté(s)

• Drupal Core :
  • Version 6.x
  • Version 7.x
  • Version 8.x

Résumé

Une vulnérabilité d'exécution de code à distance existe dans plusieurs sous-systèmes de Drupal 7.x et 8.x. Cela permet potentiellement aux attaquants d'exploiter plusieurs vecteurs d'attaque sur un site Drupal, ce qui pourrait entraîner la compromission complète du site.

Contre mesure(s)

Mettre à niveau vers la version la plus récente de Drupal 7 ou 8 core.

Si vous utilisez 7.x, passez à Drupal 7.58. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)

Si vous exécutez 8.5.x, effectuez une mise à niveau vers Drupal 8.5.1. (Si vous ne parvenez pas à effectuer la mise à jour immédiatement, vous pouvez essayer d'appliquer ce correctif pour corriger la vulnérabilité jusqu'à ce que vous puissiez effectuer une mise à jour complète.)

Drupal 8.3.x et 8.4.x ne sont plus supportés. L'éditeur ne fournies généralement pas les versions de sécurité pour les versions mineures non supportées. Cependant, étant donné la gravité potentielle de ce problème, l'éditeur fournies des versions 8.3.x et 8.4.x qui incluent le correctif pour les sites qui n'ont pas encore eu la possibilité de passer à la version 8.5.0.

La page de rapport de mise à jour du CMS recommandera la version 8.5.x même si vous utilisez le format 8.3.x ou 8.4.x. Veuillez prendre le temps de mettre à jour vers une version prise en charge après l'installation de cette mise à jour de sécurité.

Si vous exécutez 8.3.x, effectuez une mise à niveau vers Drupal 8.3.9 ou appliquez ce correctif. Si vous exécutez 8.4.x, mettez à niveau versDrupal 8.4.6 ou appliquez ce correctif.

Ce problème affecte également Drupal 8.2.x et les versions antérieures, qui ne sont plus prises en charge. Si vous exécutez l'une de ces versions de Drupal 8, mettez à jour vers une version plus récente, puis suivez les instructions ci-dessus.

Ce problème affecte également Drupal 6. Drupal 6 est en fin de vie. Pour plus d'informations sur le support Drupal 6, veuillez contacter un fournisseur D6LTS.

Mesure(s) réactive(s)

En cas d'impossibilité de patché le noyeau Drupal voici les contre-mesures réactives à deployer sur un système Apache avec mod_Security et ASM de F5

mod_Security

# SPECIFIC: Block #submit #validate #process #pre_render #post_render #element_validate 
#after_build #value_callback parameters

SecRule REQUEST_FILENAME "(index\.php|\/$)" 
"chain,id:003294,t:lowercase,t:none,t:utf8toUnicode,t:urlDecodeUni,t:urldecode,block"
        SecRule REQUEST_METHOD "^(GET|POST|HEAD)$" chain
        SecRule ARGS_NAMES|REQUEST_COOKIES_NAMES "^\# (submit|validate|pre_render|post_render|element_validate|after_build|value_callback|process)$|\ [(?:\'|\")?# (submit|validate|pre_render|post_render|element_validate|after_build|value_callback|process)"

# GENERIC: Block all parameters starting with #
        
SecRule REQUEST_FILENAME "(index\.php|\/$)" 
"chain,id:003309,t:lowercase,t:none,t:utf8toUnicode,t:urlDecodeUni,t:urldecode,block"
        SecRule REQUEST_METHOD "^(GET|POST|HEAD)$" chain
        SecRule ARGS_NAMES|REQUEST_COOKIES_NAMES "^\#|\[(?:\'|\")?\#.*\]"

IoC

• Aucun à la rédaction de l'alerte

Documentations et informations techniques

• PSA-2018-001
• SA-CORE-2018-002
• CVE-2018-7600
• Foire aux questions sur la vulnérabilités CVE-2018-7600
• Security risk levels defined

Gestion détaillée du document

• 28/03/2018 : Serge Carpentier : 1.0 : Création
• 29/03/2018 : Serge Carpentier : 1.1 : Ajout d'information