Drupal : Une faille de taille

Considérée comme la pire faille de sécurité depuis au moins 9 ans, il s’agit d’une vulnérabilité dans l'API d'abstraction de la base de données qui est sensé prévenir des attaques de type injection SQL.

Sous la référence SA-CORE-2014-005 (CVE-2014-3704), l’annonce estime que plus de 950.000 sites dans le monde utilisent cette version, ils sont tous considérés comme vulnérables aux attaques « Full SQL Injection ».

Concrètement, cette faille critique permet aux hackers de compromettre et d’avoir un accès complet à n’importe quel site Drupal 7 sans conditions. Le pire étant qu’il n’y a aucune traçabilité des attaques et qu’une simple mise à jour vers la version 7.32 ne suffit qu’à corriger la vulnérabilité, ce qui n’est pas suffisant pour se protéger contre d’éventuels codes malveillants installés entre temps.

Pour une meilleure sécurité, il est recommandé de tout restaurer à partir des sauvegardes antérieures au 15 octobre, les utilisateurs qui n’arrivent pas à procéder à la restauration sont vivement invités à refondre leur site pour éviter toute conséquence fâcheuse.

Pour information, plusieurs organisations gouvernementales utilisent Drupal tels que les gouvernements Français, Américains et Australiens.