{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"Drupal versions 8.5.x ant\u00e9rieures \u00e0 8.5.3","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal versions 7.x ant\u00e9rieures \u00e0 7.59","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal versions 8.4.x ant\u00e9rieures \u00e0 8.4.8","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}},{"description":"Drupal version 6","product":{"name":"Drupal","vendor":{"name":"Drupal","scada":false}}}],"affected_systems_content":null,"closed_at":"2018-07-30","content":"## Solution\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l'\u00e9diteur pour l'obtention des\ncorrectifs (cf. section Documentation).\n","cves":[{"name":"CVE-2018-7600","url":"https://www.cve.org/CVERecord?id=CVE-2018-7600"},{"name":"CVE-2018-7602","url":"https://www.cve.org/CVERecord?id=CVE-2018-7602"}],"links":[{"title":"Avis CERT-FR CERTFR-2018-AVI-158 Vuln\u00e9rabilit\u00e9 dans Drupal","url":"http://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-158"},{"title":"Billet de blogue Checkpoint","url":"https://research.checkpoint.com/uncovering-drupalgeddon-2/"},{"title":"Billet de blogue SANS","url":"https://isc.sans.edu/forums/diary/Drupal+CVE20187600+PoC+is+Public/23549/"},{"title":"Avis CERT-FR CERTFR-2018-AVI-204 Vuln\u00e9rabilit\u00e9 dans Drupal","url":"http://www.cert.ssi.gouv.fr/avis/CERTFR-2018-AVI-204"}],"reference":"CERTFR-2018-ALE-005","revisions":[{"description":"Version initiale","revision_date":"2018-03-29T00:00:00.000000"},{"description":"Modification d'un lien","revision_date":"2018-04-06T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte","revision_date":"2018-04-06T00:00:00.000000"},{"description":"Rouverture de l'alerte suite \u00e0 la publication du PoC, ajout de liens","revision_date":"2018-04-16T00:00:00.000000"},{"description":"Ajout de la CVE-2018-7602","revision_date":"2018-04-26T00:00:00.000000"},{"description":"Modification du titre de l'alerte","revision_date":"2018-04-26T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte","revision_date":"2018-07-30T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"},{"description":"Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"},{"description":"Atteinte \u00e0 l'int\u00e9grit\u00e9 des donn\u00e9es"}],"summary":"Le 28 mars 2018, l'\u00e9diteur du syst\u00e8me de gestion de contenu Drupal a\npubli\u00e9 un avis de s\u00e9curit\u00e9 concernant une vuln\u00e9rabilit\u00e9 critique dans\nDrupal core. L'avis SA-CORE-2018-002 indique que les syst\u00e8mes Drupal en\nversions 7.x, 8.5.x, mais \u00e9galement les syst\u00e8mes n'\u00e9tant plus support\u00e9s\n(version 8.3.x, 8.4.x et 6), sont affect\u00e9s par une vuln\u00e9rabilit\u00e9\nhautement critique pouvant mener \u00e0 la compromission compl\u00e8te d'un site\nweb bas\u00e9 sur Drupal.\n\nCette vuln\u00e9rabilit\u00e9, identifi\u00e9e en tant que CVE-2018-7600, permettrait \u00e0\nun visiteur d'un site vuln\u00e9rable d'acc\u00e9der \u00e0 toutes les donn\u00e9es\ncontenues sur le site, de les modifier et de les supprimer, et ce sans\nauthentification.\n\nLe CERT-FR recommande d'appliquer au plus t\u00f4t les correctifs de s\u00e9curit\u00e9\nmis \u00e0 disposition par Drupal.\n\n<strong>\\[ Mise \u00e0 jour du 16 avril 2018\\]</strong>\n\nLe 12 avril 2018, une preuve de concept exploitant la vuln\u00e9rabilit\u00e9\nCVE-2018-7600 a \u00e9t\u00e9 publi\u00e9e publiquement sur Github. Depuis, le CERT-FR\nconstate des tentatives d'exploitation.\n\nAu vu de la facilit\u00e9 d'exploitation et de la criticit\u00e9 de cette\nvuln\u00e9rabilit\u00e9, le CERT-FR a d\u00e9cid\u00e9 de rouvrir\nl'alerte\u00a0CERTFR-2018-ALE-005 et rappelle qu'il est n\u00e9cessaire\nd'appliquer les correctifs d\u00e9j\u00e0 disponibles imm\u00e9diatement.\n\n<strong>\\[ Mise \u00e0 jour du 26 avril 2018\\]</strong>\n\nLe 25 avril, l'\u00e9diteur de Drupal a publi\u00e9 un nouveau bulletin d'alerte\nconcernant une vuln\u00e9rabilit\u00e9 similaire \u00e0 la CVE-2018-7600, la\nCVE-2018-7602. Cette vuln\u00e9rabilit\u00e9 permet une ex\u00e9cution de code\narbitraire \u00e0 distance et a \u00e9t\u00e9 signal\u00e9e comme exploit\u00e9e tr\u00e8s peu de\ntemps apr\u00e8s sa publication. Le CERT-FR conseille l'application imm\u00e9diate\ndes correctifs fournis par l'\u00e9diteur. Il est \u00e0 noter que l'application\ndes correctifs de la vuln\u00e9rabilit\u00e9 CVE-2018-7602 n\u00e9cessite\nl'installation pr\u00e9alable de ceux de la CVE-2018-7600.\n","title":"Multiples vuln\u00e9rabilit\u00e9s dans Drupal","vendor_advisories":[{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-CORE-2018-004 du 25 avril 2018","url":"https://www.drupal.org/sa-core-2018-004"},{"published_at":null,"title":"Bulletin de s\u00e9curit\u00e9 Drupal SA-CORE-2018-002 du 28 mars 2018","url":"https://www.drupal.org/sa-core-2018-002"},{"published_at":null,"title":"Foire aux questions Drupal pour l'avis de s\u00e9curit\u00e9 SA-CORE-2018-002","url":"https://groups.drupal.org/security/faq-2018-002"}]}