Risques

  • Atteinte à l'intégrité des données
  • Atteinte à la confidentialité des données
  • Exécution de code arbitraire à distance

Systèmes affectés

  • Drupal version 6
  • Drupal versions 7.x antérieures à 7.59
  • Drupal versions 8.4.x antérieures à 8.4.8
  • Drupal versions 8.5.x antérieures à 8.5.3

Résumé

Le 28 mars 2018, l'éditeur du système de gestion de contenu Drupal a publié un avis de sécurité concernant une vulnérabilité critique dans Drupal core. L'avis SA-CORE-2018-002 indique que les systèmes Drupal en versions 7.x, 8.5.x, mais également les systèmes n'étant plus supportés (version 8.3.x, 8.4.x et 6), sont affectés par une vulnérabilité hautement critique pouvant mener à la compromission complète d'un site web basé sur Drupal.

Cette vulnérabilité, identifiée en tant que CVE-2018-7600, permettrait à un visiteur d'un site vulnérable d'accéder à toutes les données contenues sur le site, de les modifier et de les supprimer, et ce sans authentification.

Le CERT-FR recommande d'appliquer au plus tôt les correctifs de sécurité mis à disposition par Drupal.

[ Mise à jour du 16 avril 2018]

Le 12 avril 2018, une preuve de concept exploitant la vulnérabilité CVE-2018-7600 a été publiée publiquement sur Github. Depuis, le CERT-FR constate des tentatives d'exploitation.

Au vu de la facilité d'exploitation et de la criticité de cette vulnérabilité, le CERT-FR a décidé de rouvrir l'alerte CERTFR-2018-ALE-005 et rappelle qu'il est nécessaire d'appliquer les correctifs déjà disponibles immédiatement.

[ Mise à jour du 26 avril 2018]

Le 25 avril, l'éditeur de Drupal a publié un nouveau bulletin d'alerte concernant une vulnérabilité similaire à la CVE-2018-7600, la CVE-2018-7602. Cette vulnérabilité permet une exécution de code arbitraire à distance et a été signalée comme exploitée très peu de temps après sa publication. Le CERT-FR conseille l'application immédiate des correctifs fournis par l'éditeur. Il est à noter que l'application des correctifs de la vulnérabilité CVE-2018-7602 nécessite l'installation préalable de ceux de la CVE-2018-7600.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation