Les Technologies de l’information souhaitent informer les responsables informatiques qui utilisent un système exploitant la technologie Drupal (versions 8.5.x et 8.6.x et certains modules de la version 7) qu’un avis de sécurité a été publié.

La faille de sécurité, qui est activement exploitée, permet l’exécution de code à distance sur un système vulnérable.  Plus précisément, une faille existe dans l’implémentation « rest » (« RESTful Web Services ») du gestionnaire de contenu Drupal.

La faille est corrigée par la mise à niveau du logiciel :

• Pour les versions 8.5.x, la version corrigée est 8.5.11.
• Pour les versions 8.6.x, la version corrigée est 8.6.10.
• Pour les versions 7.x, il faut valider la disponibilité des mises à jour, selon les modules actifs installés.

Nous recommandons aux unités qui utilisent ce produit de procéder à la mise à jour cumulative de sécurité du logiciel Drupal, en fonction de la version utilisée.

Les détails concernant cette faille sont disponibles aux liens suivants :

• https://www.drupal.org/SA-CORE-2019-003
• https://www.drupal.org/psa-2019-02-22
• https://www.drupal.org/security/contrib
• https://nvd.nist.gov/vuln/detail/CVE-2019-6340

Pour toutes questions d’ordre technique, veuillez communiquer avec l’équipe Sécurité des Technologies de l’information, par courriel à l’adresse « securite@umontreal.ca ».

Les Technologies de l’information vous remercient de votre collaboration.