Drupal出現SQL Injection重大漏洞，呼籲立即更新！

知名的內容管理系統（CMS，俗稱的架站平台）Drupal出現SQL Injection重大漏洞，攻擊者只要利用簡單的HTTP要求即可取得Drupal網站的控制權，並在網站上執行任意程式碼，建議Drupal 7網站立即更新到最新釋出的Drupal 7.32。

根據Drupal官網說明， Drupal 7 內含一個資料庫抽象層API（database abstraction API）以確保處理過的（sanitized）資料庫能夠避免SQL injection資料隱碼攻擊。但這個API存在一個漏洞，讓攻擊者能夠發送特殊的要求，造成任意的SQL執行，最嚴重的情況可能導致權限升級、任意PHP程式碼的執行，以及其他的攻擊。

避免相關攻擊的唯一方法為立即更新。和過去Drupal安全建議不一樣的是，這個漏洞讓攻擊者不需要任何帳號（可以匿名攻擊）或是誘發任何使用者，而且目前已有概念驗證攻擊（POC）在外流傳。值得注意的是，這項攻擊並不會因為關閉Drupal，將網站設為「維護狀態」就可避免。如果無法立即更新，Drupal團隊建議先在web server上關閉Drupal網站以策安全，例如將網站指向靜態的html網頁。

發現這個漏洞的德國資安公司SektonEins表示，該漏洞讓攻擊者不需了解網站內部或是任何認證，只要丟出一個HTTP要求就可以取得Drupal網站的管理者權限，甚至可以不留任何痕跡在log（日誌）的情況下執行任意的PHP 程式碼，因此難以被發現。該漏洞從2011年之後就存在於Drupal的核心（core）程式裡。

嘿嘿～那個「iThome」網站就是用Drupal架站，很顯然也有同樣的問題！

Drupal警告：未即時修補漏洞的網站很可能都已被駭

知名內容管理系統（CMS）Drupal在10月15日宣布，Drupal 7的資料庫抽象層API含有一個安全漏洞，允許駭客執行SQL注射攻擊，當時Drupal也同步釋出Drupal 7.32進行修補。不過，現在Drupal再度提出強烈警告指出，尚未修補該漏洞的 Drupal 7 網站都應該假設自己的網站已經受駭，並建議將網站回復到10月15日之前。

Drupal說，早在Drupal 7 漏洞公布的幾個小時之後便出現自動化的攻擊，不到48小時內就發現駭客已儘可能地嘗試攻擊所有的Drupal 7網站。具體來說，也就是在世界標準時間10月15日晚上11點以前(漏洞發布7小時之後）未修補者就必需假設已受到攻擊。

此一漏洞的危險性來自於Drupal是個受歡迎的內容管理平台，而且要攻擊該漏洞非常簡單，駭客只要利用簡單的HTTP請求即可取得Drupal網站的控制權，並於網站上執行任意程式，讓Drupal 7網站順理成章地成為駭客攻擊的首選。

Drupal表示，如果網站管理人員未能即時修補該漏洞，也未使用具備虛擬修補功能的網站防火牆，那麼都應該假設自己的網站已經被駭。

駭客可能已經在Drupal 7網站上植入後門，以利他們繼續存取該站的資料或程式碼，甚至藉機擴大權限。Drupal說，要清除被駭網站的後門並不容易，因為網站管理人員很難發現所有的後門，因此他們建議未在修補程式釋出後7小時內進行修補的Drupal 7網站將網站狀態回復到10月15日之前，然後再部署Drupal 7.32。

是喔～真的是可以利用「Drupal」就能在「網站上執行任意程式」？這樣說來，某駭客入侵以後，本來除了要「植入後門」還想要執行Word，卻發現該網站沒裝！只好幫該網站先裝個盜版Office 2013上去，再來竊取資料！還順便幫忙通報BSA或FBI，某網站使用盜版軟體！

有权限装word干嘛还要通过word提权，权限已经很大了