Connexion
Abonnez-vous

WordPress et Drupal déploient d’importantes mises à jour de sécurité

D'une faille XML à une attaque DoS

WordPress et Drupal déploient d'importantes mises à jour de sécurité

Le 08 août 2014 à 08h20

Une importante faille de sécurité a été trouvée dans plusieurs versions de WordPress et de Drupal. Dans les deux cas, elle est active avec les installations par défaut et des correctifs ont été mis en ligne par les deux sociétés. Il est donc urgent de se mettre à jour si ce n'est pas encore fait.

Les mauvaises nouvelles s'enchaînent pour WordPress. En effet, début juillet, le plug-in MailPoet, très populaire et téléchargé plus de 2 millions de fois, était pointé du doigt à cause d'une faille de sécurité relativement importante, mais bien évidemment corrigée depuis. Cette fois-ci, c'est le cœur même du CMS qui est touché à cause d'une vulnérabilité XML qui peut entraîner un déni de service (DoS) et une utilisation du CPU et de la mémoire vive à 100 %. 

 

Nir Goldshlager, de chez Break Security (qui est à l'origine de cette découverte), indique que les versions 3.5 à 3.9 de WordPress sont concernées. Mais ce n'est pas tout puisque les moutures 6.x et 7.x de Drupal sont également touchées de la même manière. Dans tous les cas, il n'y a pas besoin d'installer le moindre plug-in,  l'installation par défaut est directement vulnérable.

 

Bien sûr, des mises à jour ont rapidement été mises en ligne par les deux CMS. WordPress a ainsi déployé la version 3.9.2, qui intègre aussi d'autres correctifs de sécurité, ainsi que les 3.8.4 et 3.7.4 afin de boucher cette faille. L'éditeur précise qu'il ne prend plus en charge les branches précédentes, notamment les 3.6.x et 3.5.x qui sont pourtant concernées. De son côté, Drupal a mis en ligne les versions 7.31 et 6.33 de son CMS. 

 

Via cette faille, il n'est donc pas question de voler des données, mais de rendre des sites inaccessibles, voire les serveurs sur lesquels ils sont hébergés. Mais étant donné la simplicité de mise en oeuvre, le nombre de sites qui utilisent WordPress et Drupal, les conséquences pourraient être importantes si les mises à jour ne sont pas rapidement faites.

 

Commentaires (31)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

bon ben je sais ce que je vais faire ce week-end … <img data-src=" />

votre avatar

J’ai été surpris de voir que le mien était déjà à jour, c’est automatique sur Wordpress maintenant ?

votre avatar

Je viens de vérifier, Wordpress 3.9.2 mis à jour automatiquement chez moi hier.









seboss666 a écrit :



J’ai été surpris de voir que le mien était déjà à jour, c’est automatique sur Wordpress maintenant ?





Oui la mise à jour est automatique (au moins pour les mises à jour de sécurité), normalement tu reçois un e-mail indiquant que la màj a été effectuée.



Ça se désactive dans les options bien sûr <img data-src=" />


votre avatar







seboss666 a écrit :



J’ai été surpris de voir que le mien était déjà à jour, c’est automatique sur Wordpress maintenant ?







Un article sur le sujet avait été posté sur NXi <img data-src=" />


votre avatar







Vieux_Coyote a écrit :



bon ben je sais ce que je vais faire ce week-end … <img data-src=" />







+1


votre avatar

Je suis le seul à faire des CMS maison ?



A part Timo , je me sens obligé d’en faire un moi même, blogotext est pas vilain mais c’est un très bon début.

votre avatar







Zyami a écrit :



Je suis le seul à faire des CMS maison ?



A part Timo , je me sens obligé d’en faire un moi même, blogotext est pas vilain mais c’est un très bon début.







Oui. La preuve, NXi se base sur…


votre avatar







Zyami a écrit :



Je suis le seul à faire des CMS maison ?



A part Timo , je me sens obligé d’en faire un moi même, blogotext est pas vilain mais c’est un très bon début.





Pourquoi tu es obligé de faire un CMS toi même ?



Tu as des frameworks et composer pour utiliser les librairies que tu veux


votre avatar







Depy1501 a écrit :



Pourquoi, pour quelles raisons objectives ?





C’est une moitié de <img data-src=" />



Mais le faux support de PostgreSQL m’est resté en travers de la gorge surtout quand tu passes la journée à chercher dans la documentation pour te rendre compte que c’est limite expérimental, c’est juste magique ;)


votre avatar

D’accord, je m’étais douté du semi- <img data-src=" /> !



Mais par contre, ma question était quand même sérieuse parce que je me suis souvent posé la question de quel CMS était le plus intéressant puisque je compte tester tout ça à un moment donné :) Donc merci pour ta réponse, au moins c’est une donnée que j’ai déjà en tête !

votre avatar

J’ai régulièrement la barre des taches à 100% pendant du wordpress.

J’espère que cette mise à jour réglera le pépin…

votre avatar







Depy1501 a écrit :



D’accord, je m’étais douté du semi- <img data-src=" /> !



Mais par contre, ma question était quand même sérieuse parce que je me suis souvent posé la question de quel CMS était le plus intéressant puisque je compte tester tout ça à un moment donné :) Donc merci pour ta réponse, au moins c’est une donnée que j’ai déjà en tête !





je confirme pour le demi-<img data-src=" /> Dotclear peut tout autant être sujet a ce genre de problème.

Sinon Dotclear a eu une mauvaise passe il y a pas longtemps, il a failli s’arrêter. Apparemment la nouvelle équipe est motivé et essaye de rattraper le retard accumulé. Mais tant que tu ne fait pas de la personnalisation a outrance il y a peut de différence. Le projet et la majeur partie de l’équipe est française ce qui peu être intéressant. Le support de PostgreSQL est plus qu’appréciable quand tu a un serveur déjà prêt avec cette base.

Wordpress a un système de MAJ automatique (pour les release mineur) qui est fort appréciable aussi.



Après c’est une histoire de goût <img data-src=" />


votre avatar







Mimoza a écrit :



je confirme pour le demi-<img data-src=" /> Dotclear peut tout autant être sujet a ce genre de problème.

Sinon Dotclear a eu une mauvaise passe il y a pas longtemps, il a failli s’arrêter. Apparemment la nouvelle équipe est motivé et essaye de rattraper le retard accumulé. Mais tant que tu ne fait pas de la personnalisation a outrance il y a peut de différence. Le projet et la majeur partie de l’équipe est française ce qui peu être intéressant. Le support de PostgreSQL est plus qu’appréciable quand tu a un serveur déjà prêt avec cette base.

Wordpress a un système de MAJ automatique (pour les release mineur) qui est fort appréciable aussi.



Après c’est une histoire de goût <img data-src=" />





Je pense que ta dernière phrase résume la vie de manière générale haha <img data-src=" /> !



A partir du moment où une chose te contente bien, pourquoi ne pas la choisir pour des prétextes qui ne te touchent pas ? Ici, je prends mon exemple précis d’un informaticien sans emploi qui veut des choses en plus sur son CV mais pas pour faire joli, pour maitriser. Donc il faut bien faire un choix à un moment donné. Surtout que chaque CMS, pour l’exemple de cet article, est cité par ci par là dans les annonces… Joli bordel !



Le système de MAJ automatique me plait bien par contre… 1 partout balle au centre <img data-src=" />


votre avatar







Presteus a écrit :



C’est une moitié de <img data-src=" />



Mais le faux support de PostgreSQL m’est resté en travers de la gorge surtout quand tu passes la journée à chercher dans la documentation pour te rendre compte que c’est limite expérimental, c’est juste magique ;)





La-dessus tu n’as pas tort, mais il y a peu de monde qui utilisent postgreSQL donc peu de tests donc peu….


votre avatar

J’ai une installation de chaque (DC et WP). La masse de la communauté fait que WP a un avantage sur les plugin/skin, mais sous le capot c’est DC qui a un avantage (code plus propre/rapide).



Si je devais faire un choix je regarderais ce que je souhaite faire avant et quelle plateforme a les plugin/skin les plus intéressant pour mon cas, et prendre en compte les contraintes du serveur bien entendu.

Mais j’ai une légère préférence pour DC, chauvinisme surement <img data-src=" /> et puiis vue que c’est moins rependue on est moins sujet aux attaques <img data-src=" />

votre avatar

Bon, j’ai une 100% la semaine dernier sur mon serveur… Ce que je n’avais plus vu depuis 3 ans. Peut-être ça ? <img data-src=" />









Zyami a écrit :



Je suis le seul à faire des CMS maison ?



A part Timo , je me sens obligé d’en faire un moi même, blogotext est pas vilain mais c’est un très bon début.







Non, j’ai mon propre trucs, mais il faut avoir du temps pour ça. Mes Workpress ne sont principalement pas pour moi.


votre avatar







Konrad a écrit :



Je viens de vérifier, Wordpress 3.9.2 mis à jour automatiquement chez moi hier.





Oui la mise à jour est automatique (au moins pour les mises à jour de sécurité), normalement tu reçois un e-mail indiquant que la màj a été effectuée.



Ça se désactive dans les options bien sûr <img data-src=" />







Oui, et donc comme ma vm refuse d’envoyer des mails, et que je suis une quiche dans le domaine, ben c’est réglé, j’ai pas reçu le mail <img data-src=" />


votre avatar







seboss666 a écrit :



Oui, et donc comme ma vm refuse d’envoyer des mails, et que je suis une quiche dans le domaine, ben c’est réglé, j’ai pas reçu le mail <img data-src=" />







apt-get install postfix et ça marche tout seul <img data-src=" />


votre avatar







NiCr a écrit :



apt-get install postfix et ça marche tout seul <img data-src=" />







En même temps, s’il utilise une distribution RedHat (ou dérivé), ça va tout de suite moins bien marcher … <img data-src=" />


votre avatar







FRANCKYIV a écrit :



En même temps, s’il utilise une distribution RedHat (ou dérivé), ça va tout de suite moins bien marcher … <img data-src=" />







Il dit qu’il connaît rien, si derrière il a pris une distrib de bourrin malgré ça, bien fait pour lui ! <img data-src=" />


votre avatar







NiCr a écrit :



Il dit qu’il connaît rien, si derrière il a pris une distrib de bourrin malgré ça, bien fait pour lui ! <img data-src=" />







<img data-src=" />


votre avatar







NiCr a écrit :



Il dit qu’il connaît rien, si derrière il a pris une distrib de bourrin malgré ça, bien fait pour lui ! <img data-src=" />







<img data-src=" />



Je pense que le problème doit être ailleurs, perso je n’avais rien fait de spécial pour utiliser sendmail. Mais après, ça peut dépendre de la distrib.


votre avatar







NiCr a écrit :



Oui. La preuve, NXi se base sur…







C’est pas du pur ASP.NET MVC le site NXi ?


votre avatar







xillibit a écrit :



Pourquoi tu es obligé de faire un CMS toi même ?



Tu as des frameworks et composer pour utiliser les librairies que tu veux









Ca peut te paraitre idiot… mais j’ai des enfants, 2 enfants, 2 filles et les deux veulent un espace sur le net.

http://annufoot.net/#wrapper_clos

Allez les verts.


votre avatar







copaz a écrit :



C’est pas du pur ASP.NET MVC le site NXi ?







<img data-src=" />


votre avatar

Conclusion …. passer à Dotclear <img data-src=" />

votre avatar







Mimoza a écrit :



Conclusion …. passer à Dotclear <img data-src=" />





Je plussoie ton affirmation <img data-src=" /> mais surtout pas à Joomla <img data-src=" />


votre avatar







Mimoza a écrit :



Conclusion …. passer à Dotclear <img data-src=" />





Ca me parait compliqué, ce n’est point clair…



—–&gt; []


votre avatar







zefling a écrit :



<img data-src=" />



Je pense que le problème doit être ailleurs, perso je n’avais rien fait de spécial pour utiliser sendmail. Mais après, ça peut dépendre de la distrib.







Non je sais pas pourquoi, parce que j’ai pas d’erreur. Si installer un postfix sans même le configurer marchait, je serais l’homme le plus heureux du monde.


votre avatar







seboss666 a écrit :



Non je sais pas pourquoi, parce que j’ai pas d’erreur. Si installer un postfix sans même le configurer marchait, je serais l’homme le plus heureux du monde.







Il me semble que ça fonctionnait bien sans postfix, mais une fois celui-ci installé, ça a été la galère (j’ai voulu avoir mon propre serveur de mails… <img data-src=" />)


votre avatar







Presteus a écrit :



Je plussoie ton affirmation <img data-src=" /> mais surtout pas à Joomla <img data-src=" />





Pourquoi, pour quelles raisons objectives ?


WordPress et Drupal déploient d’importantes mises à jour de sécurité

Fermer