Préparer la mise à jour critique Drupal 6/7/8 du 25/04/2018

Le 23/04/2018, la Security Team de Drupal a annoncé dans son "Public Service Announcement" PSA-2018-003 la sortie imminente de versions de sécurité pour Drupal, le mercredi 25/04/2018 entre 18h00 et 20h00 heure de Paris, hors du calendrier normal de publication des mises à jour de sécurité Drupal.

Depuis la publication d'un exploit basé sur PSA-2018-001, surnommé "Drupalgeddon 2", des bots attaquent à la chaîne les serveurs non protégés; Acquia signale avoir bloqué plus de 500 000 attaques depuis plus de 3000 adresses en une seule semaine.

  • Mises à jour
  • 25/04/2018 19h15: les mises à jour sont disponibles par Composer, plus besoin de passer par le patch
  • 25/04/2018 18h50: Drupal 6 est concerné aussi et un patch D6LTS est disponible, et le patch pour D8 s'applique aussi à 8.3.x
    • D6: attention, il y a 2 patches, un pour Drupal core et l'autre pour le module contrib CCK filefield, sur https://www.drupal.org/project/d6lts/issues/2965601
    • Les patches nécessitent d'avoir soit un Pressflow 6.43 à jour, soit la dernière version Drupal 6 avec le patch SA-CORE-2018-002
  • 25/04/2018 18h40: Le correctif est disponible sous forme de patches pour D7 et D8, sur https://www.drupal.org/sa-core-2018-004

Sévérité / Criticité

En temps normal, la couverture de sécurité est limitée aux versions supportées, qui sont actuellement la version courante (8.5.x) et la précédente (7.x). Comme pour Drupalgeddon 2, la mise à jour du 25/04 couvre également la version obsolète 8.4.x, ce qui renforce le niveau de risque estimé de la faille ainsi corrigée, et l'importance d'appliquer la correction dans les meilleurs délais. Rien n'a cette fois été annoncé pour Drupal 8.3.x ou 6.x

Quand et comment agir ?

Au plus tôt ! Toute la procédure est détaillée point par point dans notre précédent article http://www.osinet.fr/nouvelles/alerte-de-securite-drupal-psa-2018-001 consacré à Drupalgeddon 2.

En résumé: préparez votre équipe à une intervention dans la nuit de mercredi à jeudi.

Pour plus d'informations

La Security Team pas plus qu'aucune tierce partie ne peut communiquer plus d'informations jusqu'à la publication des correctifs.

L'annonce du correctif sera publiées sur https://www.drupal.org/security, sur Twitter, et par courriel pour les abonnés à la liste de diffusion de la Security Team, à laquelle il est possible de s'abonner en allant sur sa page de profil sur https://drupal.org (pas sur https://drupal.fr), et en se rendant sur l'onglet My newsletters pour s'abonner à cette liste de diffusion.

Les journalistes intéressés par plus d'informations sur les développements de ce sujet sont invités à contacter directement security-press@drupal.org pour obtenir une version centrée sur leurs préoccupations. La Security Team publiera un courriel résumé à destination de la presse en même temps que la publication du code et du bulletin de version associé.

Licence Creative Commons
Cet article, créé par OSInet est mis à disposition selon les termes de la Licence Creative Commons Attribution - Partage dans les Mêmes Conditions 3.0 France. pour faciliter la diffusion de l'information de sécurité de Drupal.