Les erreurs Open Source constituent une menace pour les sites Web qui exécutent plusieurs CMS

Image de uns et de zéros avec le mot

Les sites exécutant les systèmes de gestion de contenu Drupal, Joomla ou Typo3 sont exposés aux attaques susceptibles d'exécuter du code malveillant jusqu'à ce que les administrateurs viennent d'installer les correctifs publiés, les développeurs avertis et les chercheurs en sécurité.

La vulnérabilité réside dans PharStreamWrapper, un composant PHP développé par l'éditeur du système de gestion de contenu Typo3 et mis à disposition en tant que solution open source. L'erreur, indexée sous la référence CVE-2019-11831, provient d'un bogue de traversée de chemin qui permet aux pirates de remplacer l'archive phar légitime d'un site par une autre. Une archive phar est utilisée pour distribuer une application ou une bibliothèque PHP complète dans un seul fichier, un peu comme un fichier d'archive Java regroupe de nombreux fichiers Java dans un seul fichier.

Dans une recommandation publiée mercredi, les développeurs de Drupal ont estimé que la gravité de la vulnérabilité de leur CMS était modérément critique. Ceci est bien en dessous de l'évaluation hautement critique d'une vulnérabilité récente de Drupal et d'erreurs d'exécution à distance antérieures prenant le nom de Drupalgeddon. Cependant, la vulnérabilité présente un risque suffisant pour que les administrateurs les corrigent dès que possible.

"La nature de [pharStreemWarapper] La vulnérabilité les rend dépendants du contexte ", a déclaré à Ars le chercheur Daniel Le Gall. J'ai trouvé cette vulnérabilité sur Drupal et c'est la seule plate-forme pour laquelle j'ai évalué le niveau de gravité. Je parle actuellement à Drupal pour le rendre "critique" plutôt que "modérément critique", mais la décision finale est entre leurs mains. "

Le Gall, chercheur chez SCRT SA en Suède, a déclaré que ses propres calculs utilisant la méthode de détermination de la gravité publiée par Drupal l'avaient conduit à conclure que la vulnérabilité devait être considérée comme critique. Cependant, il a reconnu que CVE-2019-11831 était bien en dessous du seuil des précédents bogues Drupal pouvant être exploités par des utilisateurs finaux non privilégiés visitant un site vulnérable.

"Pour un Drupal standard [site] sans plugins, il faut [the site] "Avoir un utilisateur ayant le droit de gérer un sujet est une condition préalable importante." Cela signifie qu'un attaquant doit avoir des privilèges d'administrateur limités, tels que: Pour le personnel de marketing ou les graphistes.

"Cependant, certains modules de la communauté pourraient être vulnérables dans le noyau de Drupal à cause de ce bogue", a-t-il ajouté. "Une fois que ces privilèges sont préservés, le bogue est assez facile à exploiter et conduit efficacement à l'exécution de code à distance."

Dans le même temps, les développeurs de Joomla ont publié mercredi une note séparée dans laquelle la gravité était classée comme étant faible. Les développeurs Typo3 n'ont pas spécifié de niveau de gravité pour leur propre CMS.

Sites Web en cours d'exécution:

  • Drupal 8.7 devrait être mis à jour en 8.7.1
  • 8.6 ou une version antérieure devrait être mise à jour à 8.6.16
  • 7 mise à jour à 7.67

Sous Joomla, le bogue affecte les versions 3.9.3 à 3.9.5. La mise à jour est disponible dans 3.9.6.

Les utilisateurs de Typo3 CMS doivent soit mettre à niveau manuellement vers les versions 3.1.1 et 2.1.1 de PharStreamWapper, soit s'assurer que les dépendances de Composer sont générées avec ces versions.

Les erreurs Open Source constituent une menace pour les sites Web qui exécutent plusieurs CMS
4.9 (98%) 32 votes
 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *