Drupal 7.31 a nižší obsahuje kritickou zranitelnost

Ve středu 15.10.2014 byla zveřejněna nová bezpečnostní aktualizace Drupal 7.32, která řeší velmi vážnou chybu. Dalo by se říct nejvážnější chybu, která se objevila v posledních letech.

Jedná se o možnost SQL Injection. To znamená, že útočník má možnost kompletně převzít správu vašich stránek prostřednictvím správně formulovaného dotazu. Jelikož se jedná o chybu přímo v jádru Drupal, zranitelnost se týká všech stránek běžících na Drupal 7.31 a nižší (Drupal 6 se tento problém netýká).

Objevují se první informaceo zneužití této bezpečnostní chyby v masivním měřítku. Pro nejaktuálnější informace sledujte #drupalsa05 na Twitter.

Dle aktuálně dostupných informací nebyl zatím přesný postup napadení stránek masově zveřejněn, podrobnější informace se ovšem objevily např. http://drupal.stackexchange.com/…7-32-prevent nicméně objevují se první podrobnosti na základě kterých se mi podařilo tento útok reproduktovat na vlastním serveru. Tento kód ovšem z pochopitelných důvodů nezveřejním, protože stále existuje velké množství neaktualizovaných stránek.

Zajímavostí je, že tento problém se objevil již v listopadu 2013 a byl reportován, ovšem nikdo odpovědný si ho nevšiml. To rozhodně musí vést ke změnám ve fungování Drupal Core bezpečnostního týmu, aby se to příště neopakovalo.

Pokud jste váš web ještě neaktualizovali, udělejte tak hned.



Komentáře

Zatím nikdo nepřidal komentář, můžete být první.



O autorovi

Pari

Vítejte na mém blogu, rád bych se v krátkosti představil. Je mi 26 let. Momentálně nejvíce času věnuji projektu Lepime.cz - obchod se samolepkami na zeď a tvorbě webů postavených na redakčním systému Drupal pod značkou MEPA.CZ.