Alerte de sécurité critique - Drupal core PSA-2018-001

Une porte aux couleurs jaune et noir

L'équipe de sécurité de Drupal a publié mercredi 21 mars 2018 un bulletin d'alerte (Drupal 7 and 8 core highly critical release on March 28th, 2018 PSA-2018-001) annonçant la publication prochaine d'une mise à jour de sécurité hautement critique.

Cette mise à jour de sécurité critique sera publiée et diffusée le mercredi 28 mars à partir de 18h00 UTC (soit 20h00 heure française).

Les 2 versions en cours de Drupal (Drupal 7 et Drupal 8) sont concernées par cette annonce.

De telles annonces sont plutôt rares. Elles dénotent le caractère hautement critique de la faille de sécurité qui sera publiée et corrigée. Et de la nécessité pour ceux qui gèrent et maintiennent des projets Drupal de se rendre disponible à cette date et cette heure pour être en mesure d'appliquer le correctif dans les meilleurs délais.

Lors de la dernière publication d'une mise à jour de sécurité de même ampleur (cf. Drupal SA-CORE-2014-005, mise en perspective et enseignements), il y a un peu moins de 4 ans, les premières vagues d'attaque étaient survenues 7 heures seulement après la publication de la mise à jour.

Réservez cette date.

Tenez vous prêt à mettre à jour votre ou vos projets Drupal, 7 ou 8, ce mercredi 28 mars.

 

Mise à jour du 28/03/2018 : Le bulletin de sécurité SA-CORE-2018-002 présente brièvement la faille de sécurité corrigée. Tous les sites peuvent être compromis selon différents vecteurs d'attaque. Mettez à jour vos sites Drupal sans tarder. Et bien que Drupal 6 ne soit plus maintenu depuis 2 ans et demi, vous disposez d'un patch Drupal 6 non officiel, mais tout autant efficace, et même pour la version de Drupal 5.

 

Commentaires

Soumis par groussel (non vérifié) le 27/03/2018 à 23:15 - Permalien

Bonsoir,
je ne parviens pas à savoir si des opérations sont requises pour un site qui tourne encore sous 6.x.
Je suis bien conscient que les modules ne sont plus supportés dans cette version mais migrer en 7.x ou 8.x est tout aussi complexe à envisager.
Merci pour votre avis qui, je l'espère, saura m'éclairer.
GR.

Soumis par fabrice le 28/03/2018 à 00:01 - Permalien

Bonjour,

Oui Drupal 6 sera aussi concerné.

Drupal 6 n'est plus officiellement maintenu, mais vous pouvez suivre le projet D6LTS https://www.drupal.org/project/d6lts qui permet de disposer encore d'un support pour D6.
Un patch corrigeant cette faille sera publié dans la issue queue.
Ici => https://www.drupal.org/project/d6lts/issues/2955130

Bien sûr cela nécessite quelques compétences pour récupérer et appliquer le patch sur votre Drupal 6.

Ajouter un commentaire