Une importante faille de sécurité a été trouvée dans plusieurs versions de WordPress et de Drupal. Dans les deux cas, elle est active avec les installations par défaut et des correctifs ont été mis en ligne par les deux sociétés. Il est donc urgent de se mettre à jour si ce n'est pas encore fait.
Les mauvaises nouvelles s'enchaînent pour WordPress. En effet, début juillet, le plug-in MailPoet, très populaire et téléchargé plus de 2 millions de fois, était pointé du doigt à cause d'une faille de sécurité relativement importante, mais bien évidemment corrigée depuis. Cette fois-ci, c'est le cœur même du CMS qui est touché à cause d'une vulnérabilité XML qui peut entraîner un déni de service (DoS) et une utilisation du CPU et de la mémoire vive à 100 %.
Nir Goldshlager, de chez Break Security (qui est à l'origine de cette découverte), indique que les versions 3.5 à 3.9 de WordPress sont concernées. Mais ce n'est pas tout puisque les moutures 6.x et 7.x de Drupal sont également touchées de la même manière. Dans tous les cas, il n'y a pas besoin d'installer le moindre plug-in, l'installation par défaut est directement vulnérable.
Bien sûr, des mises à jour ont rapidement été mises en ligne par les deux CMS. WordPress a ainsi déployé la version 3.9.2, qui intègre aussi d'autres correctifs de sécurité, ainsi que les 3.8.4 et 3.7.4 afin de boucher cette faille. L'éditeur précise qu'il ne prend plus en charge les branches précédentes, notamment les 3.6.x et 3.5.x qui sont pourtant concernées. De son côté, Drupal a mis en ligne les versions 7.31 et 6.33 de son CMS.
Via cette faille, il n'est donc pas question de voler des données, mais de rendre des sites inaccessibles, voire les serveurs sur lesquels ils sont hébergés. Mais étant donné la simplicité de mise en oeuvre, le nombre de sites qui utilisent WordPress et Drupal, les conséquences pourraient être importantes si les mises à jour ne sont pas rapidement faites.
Commentaires (31)
#1
bon ben je sais ce que je vais faire ce week-end … " />
#2
J’ai été surpris de voir que le mien était déjà à jour, c’est automatique sur Wordpress maintenant ?
#3
Je viens de vérifier, Wordpress 3.9.2 mis à jour automatiquement chez moi hier.
#4
#5
#6
Je suis le seul à faire des CMS maison ?
A part Timo , je me sens obligé d’en faire un moi même, blogotext est pas vilain mais c’est un très bon début.
#7
#8
#9
Bon, j’ai une 100% la semaine dernier sur mon serveur… Ce que je n’avais plus vu depuis 3 ans. Peut-être ça ? " />
#10
#11
#12
#13
#14
#15
#16
#17
#18
#19
Conclusion …. passer à Dotclear " />
#20
#21
#22
#23
#24
#25
#26
D’accord, je m’étais douté du semi- " /> !
Mais par contre, ma question était quand même sérieuse parce que je me suis souvent posé la question de quel CMS était le plus intéressant puisque je compte tester tout ça à un moment donné :) Donc merci pour ta réponse, au moins c’est une donnée que j’ai déjà en tête !
#27
J’ai régulièrement la barre des taches à 100% pendant du wordpress.
J’espère que cette mise à jour réglera le pépin…
#28
#29
#30
#31
J’ai une installation de chaque (DC et WP). La masse de la communauté fait que WP a un avantage sur les plugin/skin, mais sous le capot c’est DC qui a un avantage (code plus propre/rapide).
Si je devais faire un choix je regarderais ce que je souhaite faire avant et quelle plateforme a les plugin/skin les plus intéressant pour mon cas, et prendre en compte les contraintes du serveur bien entendu.
Mais j’ai une légère préférence pour DC, chauvinisme surement " /> et puiis vue que c’est moins rependue on est moins sujet aux attaques " />