Une faille critique met à mal 120 000 sites web

Une vulnérabilité critique a été trouvée dans un module Drupal utilisé par de nombreux sites Web. Bien que le défaut ait été corrigé, les développeurs de Drupal ont initialement conseillé aux utilisateurs de migrer car le module affecté n’avait pas été mis à jour depuis plusieurs années.

L’équipe de sécurité a informé les utilisateurs le 12 avril que le module tiers nommé Références était affecté par un trou de sécurité critique. Le module, actuellement utilisé par plus de 121 000 sites Web, permet aux utilisateurs d’ajouter des références entre les nœuds pour des architectures d’informations plus complexes.

Les références ont d’abord été signalées par les développeurs de Drupal comme non prises en charge en raison du fait qu’elle avait reçu sa dernière mise à jour en février 2013. Cependant, le 14 avril, l’équipe de sécurité de Drupal a annoncé qu’elle aurait trouvé un nouveau responsable du module.

L’equipe de développement préconise de changer de module

Mardi, Drupal a annoncé que la vulnérabilité a été corrigée avec la publication des références 7.x-2.2, qui comprend également de nouvelles fonctionnalités et des corrections de bugs.

L’équipe de sécurité  n’a divulgué aucune information sur la vulnérabilité pour empêcher l’exploitation, mais les experts craignent que les acteurs malveillants puissent trouver le défaut individuellement en analysant le code source. Le CMS a déclaré qu’il publiera des informations sur cette faiblesse dans les prochaines semaines.

Alors que le module de références semble avoir trouvé un nouveau responsable, les propriétaires de sites Web du CMS peuvent également essayer Entity Reference, un module qui fournit des fonctionnalités similaires. Un module spécial est disponible pour la migration de Références vers la Référence d’Entité.

Les pirates informatiques ont été ciblés sur les sites Web utilisant des vulnérabilités dans des modules tiers. L’année dernière, les chercheurs ont commencé à voir des tentatives pour exploiter un défaut du module RESTWS deux mois après avoir été corrigé.

La vulnérabilité Drupal la plus connue est celle appelée « Drupalgeddon », qui avait encore été exploitée près de deux ans après la sortie d’un patch.

Sur infemoz, nous pensons qu’il est donc préférable de ne plus utiliser le module concerné et vite faire la mise à jour du CMS par précaution

A voir également : Les shadows brokers sont de retour