Drupal : quatre failles critiques corrigées dans la version 7 et 8

  • ARTICLES
  • /
  • DRUPAL : QUATRE FAILLES CRITIQUES CORRIGÉES DANS LA VERSION 7 ET 8

Le système de gestion de contenu Drupal a publié une série de correctifs, mercredi dernier, pour corriger quatre vulnérabilités présentes dans les versions 7 et 8. Deux de ces failles sont jugées « moins critiques » tandis que deux autres sont classées « modérément critique ». De quelles failles s’agit-il ?



Incohérence des balises de requête d’accès



Une faille plus ou moins « tolérable » implique la nomenclature incohérente des balises de requêtes d’accès dans les versions 7 et 8, ce qui entraîne la taxonomie à des utilisateurs non autorisés.



La version corrigée permet dès lors aux webmasters d’utiliser des balises compatibles avec les requêtes générées à la fois par le noyau Drupal lui-même et par des modules contributifs entity reference. Autrement, les informations sur les termes de taxonomie pourront être divulguées aux utilisateurs non privilégiés.



Mise en cache incorrect lors de la réinitialisation de mot de passe



Il a été jugé « moins critique » pour les experts. Le formulaire de réinitialisation du mot de passe de l’utilisateur ne spécifie pas un système de cache approprié, ce qui conduit à l’affichage des contenus indésirable d’une page web.



Injection d’URL externe



Dans Drupal 7, les utilisateurs malveillants pourraient générer des URL à partir d’un formulaire de confirmation qui entraînerait la redirection vers un site web après l’envoi des informations à compléter. Faille classée « critique », cela expose l’internaute à des attaques majeures dans un contexte d’ingénierie sociale.



Un déni de service via un mécanisme de translittération



Cela signifie qu’un URL spécialement conçu provoque un déni de service à travers un mécanisme de translittération. En complément, la translittération sous Drupal est unidirectionnelle. Elle nettoie les noms de fichiers pendant les téléchargements en remplaçant les caractères indésirables. Par exemple dans la version 5, la translittération est nécessaire, car les caractères Unicode dans les URL générés (par exemple des pièces jointes) ne sont pas correctement codés dans un certain cas.



Les utilisateurs principaux peuvent installer ces correctifs en procédant à la mise à niveau vers Drupal 7.52 ou 8.2.3.