Une gestion de version détaillée se trouve à la fin de ce document.
1 – Risque(s)
- exécution de code arbitraire à distance
2 – Systèmes affectés
Drupal core, versions 7.x antérieures à 7.32
3 – Résumé
Une vulnérabilité a été découverte dans Drupal. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance sans authentification préalable.
4 – Recommandations
Il est recommandé de mettre à jour les installations existantes de Drupal vers la version 7.32 qui corrige la vulnérabilité.
En cas d’impossibilité de migrer rapidement vers la dernière version, il est possible d’appliquer le correctif ci-dessous fourni par le projet Drupal :
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
De plus, en cas de suspicion de compromission, il est fortement conseillé de changer les mots de passe des utilisateurs privilégiés.
5 – Documentation
- Bulletin de sécurité Drupal du 15 octobre 2014
https://www.drupal.org/SA-CORE-2014-005
- Référence CVE CVE-2014-3704
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3704
Gestion détaillée du document
- 16 octobre 2014
- version initiale.
| Dernière version de ce document : | http://cert.ssi.gouv.fr/site/CERTFR-2014-ALE-008 |
CERT-FR
2014-10-16
http://www.cert.ssi.gouv.fr/site/CERTFR-2014-ALE-008/CERTFR-2014-ALE-008.html