Drupal出現SQL Injection重大漏洞,呼籲立即更新!
知名的內容管理系統(CMS,俗稱的架站平台)Drupal出現SQL Injection重大漏洞,攻擊者只要利用簡單的HTTP要求即可取得Drupal網站的控制權,並在網站上執行任意程式碼,建議Drupal 7網站立即更新到最新釋出的Drupal 7.32。
根據Drupal官網說明, Drupal 7 內含一個資料庫抽象層API(database abstraction API)以確保處理過的(sanitized)資料庫能夠避免SQL injection資料隱碼攻擊。但這個API存在一個漏洞,讓攻擊者能夠發送特殊的要求,造成任意的SQL執行,最嚴重的情況可能導致權限升級、任意PHP程式碼的執行,以及其他的攻擊。
避免相關攻擊的唯一方法為立即更新。和過去Drupal安全建議不一樣的是,這個漏洞讓攻擊者不需要任何帳號(可以匿名攻擊)或是誘發任何使用者,而且目前已有概念驗證攻擊(POC)在外流傳。值得注意的是,這項攻擊並不會因為關閉Drupal,將網站設為「維護狀態」就可避免。如果無法立即更新,Drupal團隊建議先在web server上關閉Drupal網站以策安全,例如將網站指向靜態的html網頁。
發現這個漏洞的德國資安公司SektonEins表示,該漏洞讓攻擊者不需了解網站內部或是任何認證,只要丟出一個HTTP要求就可以取得Drupal網站的管理者權限,甚至可以不留任何痕跡在log(日誌)的情況下執行任意的PHP 程式碼,因此難以被發現。該漏洞從2011年之後就存在於Drupal的核心(core)程式裡。
嘿嘿~那個「iThome」網站就是用Drupal架站,很顯然也有同樣的問題!