Deux vulnérabilités critiques découvertes sur Drupal

L'équipe de développement de Drupal a publié deux bulletins de sécurité corrigeant deux vulnérabilités considérées comme critiques. Un attaquant pourrait les exploiter afin d’exécuter du code arbitraire à distance sur le serveur cible. Ces attaques seraient complexes à mettre en oeuvre et nécessitent un niveau d'authentification faible. L'impact estimé sur la confidentialité et l'intégrité des données est élevé. L'une des vulnérabilités possède par ailleurs une démonstration de faisabilité disponible publiquement.

Drupal est un système de gestion de contenu libre (Content Management System ou CMS) écrit en PHP et permettant le développement rapide de sites Internet. C'est l’un des CMS les plus populaires, recensant plus de 570 000 sites actifs. Deux versions de Drupal présentent sur le marché sont actuellement maintenues, elles portent les références 7 et 8. Les vulnérabilités identifiées touchent toutes les versions les plus récentes de Drupal 7 et 8. Elles portent plus spécifiquement sur un composant intitulé Drupal Core qui fournit toutes les fonctionnalités basiques du CMS, celui-ci présentant une architecture modulaire.

Les deux vulnérabilités ont pour origine l'une des dépendances de Drupal dans un cas et le langage PHP pour l'autre. Depuis janvier 2019, l'équipe de développement de Drupal a décidé de publier un avis de sécurité distinct pour chacune des vulnérabilité.

Détails techniques

Drupal effectue une analyse de criticité basée sur sa propre grille qui ne suit pas la grille CVSS, les deux avis de sécurité ont été référencés de la manière suivante :

• CVE-2019-6338 [CVSS v3 8.0] : Une vulnérabilité présente sur la bibliothèque PEAR Archive_Tar dont dépend Drupal. Celle-ci pourrait permettre à un attaquant de réaliser une attaque par injection d'objet PHP via un encapsuleur (wrapper) des fichiers archives PHP (phar), pouvant résulter en la suppression ou la modification de fichiers sur le serveur. Celle-ci a été présentée lors d'une conférence en août 2018 aux Etats-Unis lors d'un événement dédié à la cybersécurité. Son exploitation nécessite néanmoins de pouvoir téléverser sur le serveur un fichier phar, ce qui peut être réalisé par un utilisateur authentifié disposant de faibles privilèges. Cette vulnérabilité se caractérise par la possibilité pour un attaquant de contourner certaines protections mise en place qui empêche habituellement de manipuler le chemin d'accès des fichiers.
• CVE-2019-6339 [CVSS v3 9.8] : Cette vulnérabilité est analogue à la précédente puisqu'elle porte elle aussi sur un wrapper de fichiers phar. Certaines fonctionnalités de Drupal Core réalisent des opérations sur les fichiers placés sur le serveur par les utilisateurs, sans en effectuer les contrôles suffisants. Plus spécifiquement, cette vulnérabilité porte sur URI précédé par le scheme "phar://". Cependant, la manipulation de tels chemin d'accès nécessite en temps normal des permissions d'administrateur, ou résulterait de configurations non conventionnelles.
  Suite à cette vulnérabilité, l'extension .phar a été ajoutée à la liste des extensions dangereuses de Drupal. Cette liste sert notamment à prévenir l’exécution de tout fichier portant l'une de ces extensions.

Des correctifs ont été publiés par Drupal et sont disponibles au téléchargement depuis le 16 janvier sur le site du CMS. Du fait de leur criticité, les utilisateurs sont invités à appliquer les mises à jour le plus rapidement possible.