Drupal 7 – обнаружена SQL уязвимость

Fima Korolev

SQL уязвимость Drupal 7

Всем привет! Как известно, Drupal является открытой платформой управления контентом. Он создан и используется при поддержке активного и разнообразного сообщества людей по всему миру. Одна из последних версий, Drupal 7, используется огромным количеством сайтов, и все они оказались уязвимы. При помощи этой уязвимости можно создать произвольный SQL-запрос в базу данных Drupal 7 не имея никаких прав доступа к самой системе.

SQL-инъекция в Drupal 7.0-7.31Степень опасности этой SQL уязвимости определили, как наивысшую. И вот, 15 октября разработчики наконец-то выпустили заплатку, обновление ядра Drupal до версии 7.32. Самое интересное в этой истории, что информация об этой SQL-инъекции в багтрекере друпала начала поступать аж 11 месяцев назад, но по каким то причинам, она не дошла до Security Team сразу. Короче, сейчас разрабы настоятельно требуют обновить ядро, как можно быстрее. Радует то, что полностью обновлять Drupal не нужно, достаточно заменить файл /includes/database/database.inc. Без этого обновления спасть сайты не получится никаким образом, разве что блокировкой сайта, maintenance mode не поможет. Делается это просто:

Обновление Drupal 7.31 на 7.32

  • скачиваете на офсайте последнюю версию Drupal 7.32
  • разархивируете в папку на локальном компе
  • переходите по указанному выше пути
  • копируете на хостинг, в папку с сайтом, путем замены требуемый файл database.inc

Чем опасна SQL уязвимость в Drupal 7

Самое опасное, что не хорошие “товарищи” получают доступ к изменению, удалению баз данных, а так же возможность сделать дамп и т.д. Я больше, чем уверен, что данная возможность SQL-инъекции неминуемо приведет к взлому огромного количества сайтов в ближайшее время. В подтверждение этого приведу немного статистики:

  1. На друпале работает 1,1 млн сайтов во всем мире
  2. В том числе 932 тыс. используют версию 7.х.

Я не думаю, что все, кто использует в работе Drupal 7, так быстро узнают об этой SQL инъекции, не говоря уже о том, что успеют обновиться.

Рекомендую к прочтению:  Яндекс.Табло - инструкция по созданию

Данная уязвимость была обнаружена Стефаном Хорстом, она позволяет без аутентификации на сервере выполнять произвольные SQL-запросы от любого пользователя через интернет. Всем должно быть понятно, что это дает право кому угодно “издеваться” над вашим сайтом под управлением Drupal 7. Помимо копирования БД можно, к примеру, запустить посторонний код.

Убедительная просьба ко всем читателям и гостям моего блога, поделитесь этой новостью с народом, хотя бы через кнопки соц сетей под статьей. Спасибо!


-->

16 комментариев »

  1. Михаил:

    К сожалению, для тех, кто увлекается созданием сайтов на Drupal? пока система не станет платной, она так и будет дырявой. Чего говорить, если даже у платных систем полно проблем. Но чтобы не говорить зря, мы взяли и сделали конструктор сайтов свой.

  2. Андрей:

    Большое спасибо за информацию, извините что не по теме, может вы скажите как заставить яндекс быстрее индексировать.

  3. konkore:

    Спасибо, действительно информация распространяется медленно. Я обновился, как только пришла инфа об обновлении. И уже спустя месяц или больше, вот читаю эту важную информацию. Надо помочь.

  4. Не пользуюсь Друпал, но всё равно спасибо за инфу. На будущее

  5. Давно отказался от друпала, есть аналоги намного лучше, например тоже модикс

  6. Сергей:

    _http://clip2net.com/s/j9QZcj – про соц. кнопки. В хроме их нет.

  7. werstey:

    Да, меня именно так и взломали. Самое интересное что когда в каком либо движке находят уязвимость, мой хостер присылает письмо на мыло, а я как то закрутился и две недели не седел за компьютером, а когда сел полез на сайт, а там 301 редирект=(

  8. Никита:

    Не пойму что хорошего в Drupal? можете объяснить плюсы этой cms? Какие различия с wordpress в общих чертах

    • Приветствую вас! На мой взгляд:

      • WordPress больше подходит для новичков, да и больше для блогов подходит. Хотя можно и интернет-магазин замутить на нем, но это для мазахистов ИМХО.
      • Joomla – более продвинутый движок. Подходит для создания сайтов любой сложности, но требуется определенное время, для изучения и понимания, как оно работает.
      • Drupal – самый тяжкий (если для не специалиста) в плане “а зачем это, а как вон то переделать”, но тот же сайт Мозиллы или Каноникал сделан именно на нем – с него можно слепить все что хочешь.

      Как-то так :)

  9. Сергей:

    Все поменял, спасибо!!!!)

  10. Сергей:

    Я у вас соц. кнопок под статьей не вижу, чтобы поделиться.

    • Добрый день, Сергей! Ну я даже не знаю, что вам ответить на это. Их сложно не заметить. Видимо у вас что-то с браузером? Попробуйте открыть в другом.

  11. IMPULSE:

    Профессионалы не все смогут этих школьников по скилам переплюнуть)

  12. Вадим:

    Это точно, такое впечатление, что каждый школьник может его взломать))

Оставить комментарий

Ваш email не будет опубликован. Обязательные поля отмечены *

Что-то типа КАПЧИ :) *

Вы можете использовать это HTMLтеги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">