[Aide] [SÉCURITÉ]Si vous avez des sites sous Drupal alerte rouge

Alarc'h alarch at alarch.ath.cx
Sat Nov 1 09:40:00 CET 2014


Le Sat, 1 Nov 2014 02:15:22 +0100,
Peko <papa.papa.echo at gmail.com> a écrit :

> Voilà des conclusions bien hâtives, et peu mesurées et manquant de
> recul et d'impartialité.
> 
> Le patch date du 10 ou 15 oct.
> 
> Quel que soit le système et quel que soit sa diffusion,
> un site en ligne non maintenu correctement est potentiellement mort
> par avance, que ce soit du proprio, de l'OSS.
> 
> 
> 
> --P

Oui certes, mais un site installé sur un serveur n'est pas géré par l'installeur de paquets de la distribution. Donc soit le soft dispose d'un mécanisme pour rechercher ses mises à jour comme piwik par exemple (et il ne me semble pas que drupal en dispose) soit il faut que les admins vérifient chaque jour sur le site officiel les alertes de sécurité. Et sur 12 millions de sites installés je ne pense pas que tous les administrateurs aient cette rigueur. 

Moi qui suis pas mal les problèmes de sécurité je n'avais pas vu l'info, n'utilisant pas Drupal cela peut éventuellement se comprendre, mais je ne dois pas être le seul. Et puis quand on est dans une petite structure où il n'y a pas forcément d'autre admin, il suffit d'être cloué au lit par un grippe pendant 10 jours pour que les choses tournent mal. 

Après je suis d'accord que mon jugement sur Drupal n'avait peut-être pas à figurer sur ce mail. Ce n'est pas la seule usine à gaz en circulation. Simplement je m'étonne face à la multitude de CMS existants de cet engouement pour Drupal. Mais on pourrait dire la même chose de WordPress, une faille dans ce logiciel serait aussi catastrophique car il semble avoir une position quasi hégémonique sur les sites de presse en ligne et de gestion de contenu. 

Concentration des serveurs, concentration sur certains soft sont des dangers potentiels. Donc excusez-moi pour le ton du message mais il n'en reste pas moins que le problème existe. Si tout le monde sur la liste me dit qu'il savait déjà et qu'aucun n'a découvert l'info par mon mail j'accepterai de manger mon chapeau, ou plutôt ma spirale... (je n'ai pas de chapeau rouge, juste une spirale Debian).

-- 
        __
     __/o \_
     \____  \
         /   \
        //\   \
__/o \-//--\   \_/
\____  ___  \  |
     ||   \ |\ |
    _||   _||_||


More information about the Aide mailing list