Ajouter un commentaire

Faille de sécurité Drupal SA-CORE-2014-005

Le 15 octobre 2014, l'équipe sécurité de Drupal a découvert une faille de sécurité critique, référencée sous le code CVE-2014-3704. Le 29 octobre, Drupal a annoncé publiquement la découverte de cette faille avec un correctif.

Qu'est-ce qu'elle permet ?

Drupal dispose d'un outil de vérification et nettoyage des requêtes qui sont effectuées vers sa base. Cependant, la faille permet à une personne malveillante de déclencher des attaques de type SQL injection. Dans certains contextes, la requête peut permettre à l'assaillant de s'octroyer plus de privilèges dans le système, d'exécuter du code PHP ou autre type d'attaque.

Depuis quand existe-t-elle ?

La faille est présente sur toutes les versions de Drupal 7 inférieure à la 7.32, l'annonce porte la référence SA-CORE-2014-005. Pour tester si votre site est vulnérable vous pouvez utiliser le script suivant : https://www.drupal.org/project/drupalgeddon

Comment la corriger ?

Mettez à jour Drupal https://www.drupal.org/download.
Si cela vous est impossible, vous pouvez appliquer ce patch au fichier database.inc.


Nous vous rappelons qu’il est recommandé de régulièrement mettre à jour vos applications et services, afin de garantir leur stabilité et sécurité.