Drupal : attaque en déni de service possible par le module "commentaires".
Dans un bulletin du 17 janvier 2024, l'équipe de développement de Drupal informe d'une faille dans le module de commentaire. Cette vulnérabilité est considérée comme "modérément critique" car elle permet de réaliser un déni de service sur le site Drupal. Les sites n'utilisant pas la fonctionnalité "commentaires" ne sont pas concernés.
Drupal : le CMS des organisations exigeantes.
Drupal est un système de gestion de contenu open source. Il se distingue
par sa flexibilité et sa puissance en matière de création de sites web.
Comparé à WordPress, Drupal est plus performant dans la gestion de contenus
complexes et de sites à grande échelle, offrant une architecture
modulaire et évolutive. Sa robustesse en matière de sécurité est
également un atout majeur, ce qui en fait un choix privilégié pour les
entreprises et organisations exigeantes. Drupal met l'accent sur la
personnalisation approfondie : il offre un contrôle complet sur la
présentation et la structure des contenus. Avec une communauté active et
des modules variés, il permet une personnalisation avancée sans
dépendre exclusivement des thèmes prédéfinis. Enfin, Drupal se démarque
par sa capacité à gérer des sites multilingues et à répondre aux besoins
diversifiés des développeurs, faisant de lui une solution de choix pour
des projets web ambitieux et complexes. Malgré sa réputation en matière de cybersécurité, des vulnérabilités sont toujours possibles : l'usage d'un WAF (Web Application Firewall) tel que ProtectMy.site est donc recommandé.
Faille dans les commentaires.
Dans son bulletin d'information, repris par le CERT-FR (centre de veille, d'alerte et de réponse aux attaques informatiques), Drupal indique que les versions concernées sont celles comprises entre la 8.0 et la 10.1.8 et celles entre la 10.2 et avant la 10.2.2, utilisant le module de commentaires.
Dans certains cas, un attaquant peut utiliser le module de commentaire avec une requête forgée pour entrainer un déni de service (DoS) à distane. Ce qui entraine l'indisponibilité du site web propulsé par Drupal.
Les correctifs sont disponibles pour les branches 10.1 et 10.2.
Versions antérieures à 10.1 ?
Drupal indique que toutes les versions avant la 10.1 sont en fin de vie. Elles ne recevront pas de correctif, bien qu'elles soient affectées par la faille à partir de la version 8.0. Elles resteront donc vulnérables si elles sont encore en production.
Dans certains cas, vous ne pouvez pas mettre à jour votre site Drupal : présence d'un développement spécifique qui n'est pas compatible avec les nouvelles version ou bien simplement en raison de l'absence d'un partenaire capable de réaliser la maintenance préventive. Il est alors particulièrement recommandé d'utiliser un WAF (Web Application Firewall) pour protéger votre site Drupal.
ProtectMy.site protège votre site Drupal contre les attaques et sécurise l'interface d'administration (le backoffice) contre les accès non désirés, à partir de 25€ ht par mois. C'est une solution simple à mettre en oeuvre et améliore considérablement la cybersécurité de votre site web Drupal.