www.

Παρασκευή, 7 Νοεμβρίου 2014

Κενό ασφαλείας - sql injection - στο Drupal στην έκδοση 7


Το Drupal 7 περιλαμβάνει μια αφαιρετική διεπαφή (API) επικοινωνίας με τη βάση δεδομένων (database abstraction API), ώστε να διασφαλίζει ότι τα ερωτήματα που εκτελούνται στη βάση έχουν "απολυμανθεί" για να αποτρέπονται οι επιθέσεις SQL injection.

Ένα κενό ασφαλείας σε αυτή την διεπαφή (API), δίνει τη δυνατότητα σε κακόβουλους χρήστες να στέλνουν ειδικά διαμορφωμένα ερωτήματα, με αποτέλεσμα την αυθαίρετη εκτέλεση SQL. Ανάλογα με το περιεχόμενο των ερωτημάτων αυτών, μπορεί να προκύψει αλλαγή των δικαιωμάτων, αυθαίρετη εκτέλεση εντολών της PHP και άλλες παραβιάσεις.

Το κενό ασφαλείας αυτό μπορεί να χρησιμοποιηθεί κακόβουλα. Έχουν αναφερθεί μαζικές παραβιάσεις και τα sites σε Drupal 7 στα οποία δεν έχει γίνει update, μπορεί να έχουν ήδη μολυνθεί ή να κινδυνεύουν να μολυνθούν.

Εάν δεν έχετε κάνει ακόμα update στο Drupal website σας, παρακαλούμε ενημερώστε το στην έκδοση 7.32, η οποία διορθώνει το κενό ασφαλείας.

Ωστόσο, δεν λύνει το πρόβλημα σε ένα site το οποίο έχει ήδη μολυνθεί. 

Εάν διαπιστώσετε ότι το site σας έχει ενημερωθεί σε σχέση με αυτό το κενό ασφαλείας, αλλά δεν έχετε κάνει εσείς την ενημέρωση, μπορεί και αυτό να είναι σύμπτωμα του ότι το site σας έχει παραβιαστεί, καθώς έχει παρατηρηθεί ότι κάποιοι από τους χρήστες που επιτίθενται σε websites, αφού τα παραβιάσουν, στη συνέχεια εγκαθιστούν το patch που επιλύει το πρόβλημα για να αποτρέψουν άλλους χρήστες να πάρουν τον έλεγχο του site.

Κωδική ονομασία: SA-CORE-2014-005 - Drupal core - SQL injection

Δεν υπάρχουν σχόλια:

Δημοσίευση σχολίου

 

Copyright @ 2014 Web hosting and domain names blog by IP.GR