Drupal Patchs défait exploité dans les campagnes de spam


Les mises à jour de sécurité de Drupal ont publié mercredi une série de vulnérabilités, y compris celles qui ont été exploitées dans des campagnes anti-spam.

Le défaut exploité à l'état sauvage, corrigé avec la version Drupal versions 7.56 et 8.3.4, est une vulnérabilité de dérivation d'accès de taille modérée suivie sous le nom CVE-2017-6922.

Le problème est que les fichiers téléchargés par des utilisateurs anonymes dans un système de fichiers privé peuvent être consultés par tous les utilisateurs anonymes, et pas seulement par l'utilisateur qui les a téléchargés, comme il se doit. Le trou de sécurité n'affecte que les sites Web qui permettent aux utilisateurs anonymes de télécharger des fichiers dans un système de fichiers privé.

Drupal a connu des attaques exploitant ce défaut depuis octobre 2016. À l'époque, il prévoyait que des sites mal configurés avaient été maltraités par des acteurs malveillants pour héberger des fichiers et les orienter sur les utilisateurs et les moteurs de recherche. Les dernières mises à jour pour Drupal 7 et 8 introduisent une protection qui devrait empêcher l'exploitation.

"Par exemple, si un formulaire Web configuré pour permettre aux visiteurs anonymes de télécharger une image dans le système de fichiers public, cette personne serait accessible par n'importe qui sur internet. Le site pourrait être utilisé par un attaquant pour héberger des images et d'autres fichiers que les responsables légitimes du site ne voudraient pas publier sur leur site ", a déclaré l'équipe de sécurité Drupal dans son avis d'octobre 2016.

Drupal 8.3.4 corrige également un problème critique lié à la façon dont l'analyseur PECL YAML gère les objets dangereux. Un attaquant peut exploiter le défaut, suivi comme CVE-2017-6920, pour le code distant …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils