Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Drupal a publié un patch pour corriger un certain nombre de vulnérabilités critiques dans Drupal Core

janvier 2019 par Gavin Millard, VP of Intelligence Pour Tenable

« La première vulnérabilité est CVE-2018-1000888, dans PEAR Archive_Tar, une bibliothèque tierce intégrée à Drupal core. Un proof-of-concept est disponible pour cette vulnérabilité, mais il n’est pas adapté à Drupal et les configurations qui pourraient être affectées par cette vulnérabilité sont rares.

La seconde est une vulnérabilité d’exécution de code à distance dans le flux Phar disponible depuis PHP. Selon les experts, cette vulnérabilité a été corrigée en raison d’une exposition possible due à la façon dont certains codes Drupal peuvent effectuer des opérations de fichiers sur des entrées utilisateur insuffisamment validées. Cependant, l’impact de cette vulnérabilité est atténué en raison des autorisations (administratives) requises pour l’exploiter.

Bien qu’il n’y ait actuellement aucune preuve que ces vulnérabilités ont été utilisées, le fait que de nombreuses organisations utilisent Drupal pour le back-end de leur site web est préoccupant. Les données sensibles ne sont peut-être pas accessibles par ces failles, mais la moindre modification sur le site peut avoir un impact négatif sur la marque en générant des alertes ou même des fake news. Comme toujours, la première recommandation est d’appliquer les correctifs disponibles dès que possible ou de prendre des mesures correctives pour minimiser le risque.

De façon plus large, avec la découverte quotidienne de nouvelles vulnérabilités critiques, les entreprises doivent rapidement déterminer le risque théorique du risque réel pour leur entreprise et prendre les mesures nécessaires pour réduire leur Cyber Exposure ».




Voir les articles précédents

    

Voir les articles suivants