Всем привет! Как известно, Drupal является открытой платформой управления контентом. Он создан и используется при поддержке активного и разнообразного сообщества людей по всему миру. Одна из последних версий, Drupal 7, используется огромным количеством сайтов, и все они оказались уязвимы. При помощи этой уязвимости можно создать произвольный SQL-запрос в базу данных Drupal 7 не имея никаких прав доступа к самой системе.
Степень опасности этой SQL уязвимости определили, как наивысшую. И вот, 15 октября разработчики наконец-то выпустили заплатку, обновление ядра Drupal до версии 7.32. Самое интересное в этой истории, что информация об этой SQL-инъекции в багтрекере друпала начала поступать аж 11 месяцев назад, но по каким то причинам, она не дошла до Security Team сразу. Короче, сейчас разрабы настоятельно требуют обновить ядро, как можно быстрее. Радует то, что полностью обновлять Drupal не нужно, достаточно заменить файл /includes/database/database.inc. Без этого обновления спасть сайты не получится никаким образом, разве что блокировкой сайта, maintenance mode не поможет. Делается это просто:
Обновление Drupal 7.31 на 7.32
- скачиваете на офсайте последнюю версию Drupal 7.32
- разархивируете в папку на локальном компе
- переходите по указанному выше пути
- копируете на хостинг, в папку с сайтом, путем замены требуемый файл database.inc
Чем опасна SQL уязвимость в Drupal 7
Самое опасное, что не хорошие «товарищи» получают доступ к изменению, удалению баз данных, а так же возможность сделать дамп и т.д. Я больше, чем уверен, что данная возможность SQL-инъекции неминуемо приведет к взлому огромного количества сайтов в ближайшее время. В подтверждение этого приведу немного статистики:
- На друпале работает 1,1 млн сайтов во всем мире
- В том числе 932 тыс. используют версию 7.х.
Я не думаю, что все, кто использует в работе Drupal 7, так быстро узнают об этой SQL инъекции, не говоря уже о том, что успеют обновиться.
Данная уязвимость была обнаружена Стефаном Хорстом, она позволяет без аутентификации на сервере выполнять произвольные SQL-запросы от любого пользователя через интернет. Всем должно быть понятно, что это дает право кому угодно «издеваться» над вашим сайтом под управлением Drupal 7. Помимо копирования БД можно, к примеру, запустить посторонний код.
Убедительная просьба ко всем читателям и гостям моего блога, поделитесь этой новостью с народом, хотя бы через кнопки соц сетей под статьей. Спасибо!
Это точно, такое впечатление, что каждый школьник может его взломать))
Профессионалы не все смогут этих школьников по скилам переплюнуть)
Я у вас соц. кнопок под статьей не вижу, чтобы поделиться.
Добрый день, Сергей! Ну я даже не знаю, что вам ответить на это. Их сложно не заметить. Видимо у вас что-то с браузером? Попробуйте открыть в другом.
Все поменял, спасибо!!!!)
Не пойму что хорошего в Drupal? можете объяснить плюсы этой cms? Какие различия с wordpress в общих чертах
Приветствую вас! На мой взгляд:
Как-то так 🙂
Да, меня именно так и взломали. Самое интересное что когда в каком либо движке находят уязвимость, мой хостер присылает письмо на мыло, а я как то закрутился и две недели не седел за компьютером, а когда сел полез на сайт, а там 301 редирект=(
_http://clip2net.com/s/j9QZcj — про соц. кнопки. В хроме их нет.
Подозреваю, что у вас AdBlock стоит, он и вырезает кнопки.
Давно отказался от друпала, есть аналоги намного лучше, например тоже модикс
Не пользуюсь Друпал, но всё равно спасибо за инфу. На будущее
Спасибо, действительно информация распространяется медленно. Я обновился, как только пришла инфа об обновлении. И уже спустя месяц или больше, вот читаю эту важную информацию. Надо помочь.
Большое спасибо за информацию, извините что не по теме, может вы скажите как заставить яндекс быстрее индексировать.
Здравствуйте, Андрей! Соцсети, закладки, RSS, да и никто еще не отменял addurl…
К сожалению, для тех, кто увлекается созданием сайтов на Drupal? пока система не станет платной, она так и будет дырявой. Чего говорить, если даже у платных систем полно проблем. Но чтобы не говорить зря, мы взяли и сделали конструктор сайтов свой.