Drupal 7 — обнаружена SQL уязвимость

SQL уязвимость Drupal 7 Новости

Всем привет! Как известно, Drupal является открытой платформой управления контентом. Он создан и используется при поддержке активного и разнообразного сообщества людей по всему миру. Одна из последних версий, Drupal 7, используется огромным количеством сайтов, и все они оказались уязвимы. При помощи этой уязвимости можно создать произвольный SQL-запрос в базу данных Drupal 7 не имея никаких прав доступа к самой системе.

SQL-инъекция в Drupal 7.0-7.31Степень опасности этой SQL уязвимости определили, как наивысшую. И вот, 15 октября разработчики наконец-то выпустили заплатку, обновление ядра Drupal до версии 7.32. Самое интересное в этой истории, что информация об этой SQL-инъекции в багтрекере друпала начала поступать аж 11 месяцев назад, но по каким то причинам, она не дошла до Security Team сразу. Короче, сейчас разрабы настоятельно требуют обновить ядро, как можно быстрее. Радует то, что полностью обновлять Drupal не нужно, достаточно заменить файл /includes/database/database.inc. Без этого обновления спасть сайты не получится никаким образом, разве что блокировкой сайта, maintenance mode не поможет. Делается это просто:

Обновление Drupal 7.31 на 7.32

  • скачиваете на офсайте последнюю версию Drupal 7.32
  • разархивируете в папку на локальном компе
  • переходите по указанному выше пути
  • копируете на хостинг, в папку с сайтом, путем замены требуемый файл database.inc

Чем опасна SQL уязвимость в Drupal 7

Самое опасное, что не хорошие «товарищи» получают доступ к изменению, удалению баз данных, а так же возможность сделать дамп и т.д. Я больше, чем уверен, что данная возможность SQL-инъекции неминуемо приведет к взлому огромного количества сайтов в ближайшее время. В подтверждение этого приведу немного статистики:

  1. На друпале работает 1,1 млн сайтов во всем мире
  2. В том числе 932 тыс. используют версию 7.х.

Я не думаю, что все, кто использует в работе Drupal 7, так быстро узнают об этой SQL инъекции, не говоря уже о том, что успеют обновиться.

Данная уязвимость была обнаружена Стефаном Хорстом, она позволяет без аутентификации на сервере выполнять произвольные SQL-запросы от любого пользователя через интернет. Всем должно быть понятно, что это дает право кому угодно «издеваться» над вашим сайтом под управлением Drupal 7. Помимо копирования БД можно, к примеру, запустить посторонний код.

Убедительная просьба ко всем читателям и гостям моего блога, поделитесь этой новостью с народом, хотя бы через кнопки соц сетей под статьей. Спасибо!

Оцените статью
( Пока оценок нет )
Поделиться с друзьями
Блог [SEO Jedi]
Добавить комментарий

  1. Михаил

    К сожалению, для тех, кто увлекается созданием сайтов на Drupal? пока система не станет платной, она так и будет дырявой. Чего говорить, если даже у платных систем полно проблем. Но чтобы не говорить зря, мы взяли и сделали конструктор сайтов свой.

  2. SEOjedi автор

    Здравствуйте, Андрей! Соцсети, закладки, RSS, да и никто еще не отменял addurl…

  3. Андрей

    Большое спасибо за информацию, извините что не по теме, может вы скажите как заставить яндекс быстрее индексировать.

  4. konkore

    Спасибо, действительно информация распространяется медленно. Я обновился, как только пришла инфа об обновлении. И уже спустя месяц или больше, вот читаю эту важную информацию. Надо помочь.

  5. Сергей

    Не пользуюсь Друпал, но всё равно спасибо за инфу. На будущее

  6. mojo-web

    Давно отказался от друпала, есть аналоги намного лучше, например тоже модикс

  7. SEOjedi автор

    Подозреваю, что у вас AdBlock стоит, он и вырезает кнопки.

  8. Сергей

    _http://clip2net.com/s/j9QZcj — про соц. кнопки. В хроме их нет.

  9. werstey

    Да, меня именно так и взломали. Самое интересное что когда в каком либо движке находят уязвимость, мой хостер присылает письмо на мыло, а я как то закрутился и две недели не седел за компьютером, а когда сел полез на сайт, а там 301 редирект=(

  10. SEOjedi автор

    Приветствую вас! На мой взгляд:

    • WordPress больше подходит для новичков, да и больше для блогов подходит. Хотя можно и интернет-магазин замутить на нем, но это для мазахистов ИМХО.
    • Joomla — более продвинутый движок. Подходит для создания сайтов любой сложности, но требуется определенное время, для изучения и понимания, как оно работает.
    • Drupal — самый тяжкий (если для не специалиста) в плане «а зачем это, а как вон то переделать», но тот же сайт Мозиллы или Каноникал сделан именно на нем — с него можно слепить все что хочешь.

    Как-то так 🙂

  11. Никита

    Не пойму что хорошего в Drupal? можете объяснить плюсы этой cms? Какие различия с wordpress в общих чертах

  12. SEOjedi автор

    Добрый день, Сергей! Ну я даже не знаю, что вам ответить на это. Их сложно не заметить. Видимо у вас что-то с браузером? Попробуйте открыть в другом.

  13. Сергей

    Все поменял, спасибо!!!!)

  14. Сергей

    Я у вас соц. кнопок под статьей не вижу, чтобы поделиться.

  15. IMPULSE

    Профессионалы не все смогут этих школьников по скилам переплюнуть)

  16. Вадим

    Это точно, такое впечатление, что каждый школьник может его взломать))