Une faille SQL-injection ‘critique’ dans Drupal 7

Drupal invite les utilisateurs de Drupal 7 à migrer dans les plus brefs délais vers la version 7.32 en raison d’une faille de sécurité SQL Injection critique déjà abusée pour des attaques automatiques.

Dans un ‘Public Service Announcement‘(PSA) https://www.drupal.org/PSA-2014-003, l’organisation Drupal demande aux utilisateurs de Drupal 7 d’exécuter aussi vite que possible une mise à niveau vers Drupal 7.32. Dans un avertissement plus tôt, elle affirme qu’une faille SQL-injection dans une ‘database abstraction API’ permet à des personnes mal intentionnées d’exécuter leurs propres commandes SQL, ce qui peut générer des attaques. L’organisation Drupal souligne que cette faille a déjà été exploitée pour des attaques automatiques.

Le simple patch ne suffit pas

Drupal indique que l’installation du patch ne suffit pas en soi. Ce patch “ne répare pas un site déjà compromis” et “une attaque ne peut assurément pas avoir laissé de traces”. Dans le PSA, l’on explique ensuite quelles étapes doivent être effectuées, du démarrage et de la réinitialisation du site (au moyen de backups) jusqu’à la situation d’avant le 15 octobre dernier.

Dans la liste des ‘frequently asked questions‘, Drupal donne aussi des informations complémentaires à propos de l’avertissement initial et de la sécurité de Drupal en général. Dans ces FAQ, l’on affirme en outre que les versions 6.x de Drupal ne présentent pas cette faille SQL-injection.

Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici

Contenu partenaire