Drupalgeddon -

We encourage users to post events happening in the community to the community events group on https://www.drupal.org.
gbaudoin's picture

Hello !

Je pense que pas mal ont eu des interventions à faire suite à l'annonce https://www.drupal.org/SA-CORE-2014-005 (SQL injection sur tous les formulaires, y compris /user).

Il y a encore pleins de sites Drupal 7 qui n'ont pas été mis à jour et qui se trouvent soit sur une plateforme non protégée (qui n'a pas de mécanisme de détection de fichier douteux) soit qui ne sont pas derrière un CDN avec WAF (genre cloudflare).

Le fix est facile à faire, il s'agit soit de mettre à jour le drupal 7 vers 7.32 ou supérieur (cf https://www.drupal.org/node/1494290 ou "drush up"). Pour les sites ou la mise à jour "core" serait un peu cavalière à faire rapidement, il suffit de modifier un fichier dans core (hé oui mais là c'est permis) tel que décrit dans ce patch: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

Si vous avez connaissance d'un détenteur de site qui ne serait pas au courant, il est très important de faire circuler l'information et au besoin de les pointer ici afin qu'on puisse les aider. Il est important pour la communauté Drupal au sens large de montrer sa réactivité et la simplicité de mise à jour de Drupal dans ce genre de situations.

Il y a un petit module drush assez marrant, drupalgeddon (drush dl drupalgeddon, drush drupalgeddon-test) qui permet de tester automatiquement un site. Il permet de tester rapidement un site pour cette faille (et d'autres) et ne s'installe pas sur le site.

A+
Guillaume

Comments

hello on a fait la mise a

Elyoukey's picture

hello
on a fait la mise a jour ici, mais le problème c'est que d'après l'email, si on a fait la mise à jour plus de 7h après la parution de la faille on est quand meme en danger.
Est-ce que tu sais comment on peut mesurer le risque ?

CHECK

medbud's picture

Trouvé sur r/drupal:

[–]hohlermann 3 points 6 days ago
After updating to Drupal 7.32, I recommend scanning your site using the following combination:
https://www.drupal.org/project/site_audit
https://www.drupal.org/project/drupalgeddon
https://www.drupal.org/project/security_review
https://www.drupal.org/files/issues/integrate_with_site_audit-2279283-11...
https://www.drupal.org/project/hacked
https://www.drupal.org/files/issues/integrate_hacked_with-2066371-20.patch
That should detect malicious menu_router items, bad users and roles, modified files, and so forth.

Tu peux aussi vérifier qu'il

gbaudoin's picture

Tu peux aussi vérifier qu'il n'y ait pas un fichier .php inconnu dans les sous-répertoires de /module (si tu utilises git ou un système de versionnage). Autrement dans menu_router, regarde si il y a une entrée file_put_contents dans le champ "access_callback". Si oui, il faut patcher & dégager l'entrée et le fichier.

Il arrive aussi qu'un site attaqué soit patché par l'attaque, après avoir déposé le shell (le script php étranger)!

L'annonce PSA-2014-003 qui

drikc's picture

L'annonce PSA-2014-003 qui décrit les problèmes si l'update n'a pas été faites dans les 7 heures suivant l'annonce de la disponibilité de la version 7.32: https://www.drupal.org/PSA-2014-003

On y lit les 2 soucis suivants:
- Les données ont pu être copiées
- Il n'y pas de moyen plus complet de se prémunir des backdoor potentiellement installés que de restaurer un backup d'avant le 15 octobre.

Donc pour sites avec données sensibles il faut être particulièrement attentifs.

Ici un flowchart qui décrit comment traîter ce souci (par un co-auteur de l'annonce): http://drupal.geek.nz/blog/your-drupal-website-has-backdoor

On voit que le diagramme "s'obscurcit" lorsque l'on peut pas restaurer l'état d'un site avec un backup d'avant 15 octobre ... de quoi occuper ce temps libre dont on ne sait quoi faire...

Communiquer / Communiquer

Car0l's picture

Hello,

Effectivement il est très important de communiquer rapidement l'information surtout que les backups ne sont pas éternels et que chez certains hébergeurs c'est 15 jours..... donc ça va être la catastrophe pour certains qui n'étaient pas prévenus.

Courage pour ceux qui sont encore en train de se battre contre :-)