Sværmen af yderst kritiske sårbarheder synes ingen ende at tage. Et af de mest udbredte og populære CMS (Content Management Systemer) er ramt af en yderst kritisk svaghed som gør det muligt for en anonym angriber at overtage kontrollen med webserveren.
Alle Drupal installationer skal med det samme opgraderes til version 7.32. Der er fundet en yderst kritisk SQL injektion sårbarhed i det populære CMS, som gør det muligt for en person, fra eksternt ståsted, at kompromittere sårbare installationer.
Drupal er et af verdens mest udbredte open source CMS'er og er kernen i hele 12% af verdens top 100.000 websites. En mere detaljeret beskrivelse af Drupal kan findes på Wikipedia: http://da.wikipedia.org/wiki/Drupal
Sårbarheden introduceres i et database abstraction API, som ironisk nok skal sikre, at forespørglser mod databasen bliver saniteret for at forhindre SQL ijektion. Igennem netop dette API er det muligt for en angriber at sende særligt udformede anmodninger, som kan resultere i arbitrær SQL eksekvering. Angreb kan føre til rettighedseskalering, arbitrær PHP eksekvering m.v. Resultatet, er som før nævnt, kompromittering af webserveren.
Den pågældende sårbarhed har fået tildelt CVE-ID: CVE-2014-3704 og berører alle versioner af Drupal fra version 7.0 og tidligere end version 7.32. Drupal regner også med at frigive en opdatering til Drupal 6 core, men det er uvist om det er relateret.
Opdatér nu
CSIS anbefaler, at alle opgraderer til version 7.32 af Drupal. Hvis dette, af forskellige årsager og hensyn, ikke er en mulighed, er der publiceret et patch som kan hentes her: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
Yderligere oplysninger:
https://www.drupal.org/SA-CORE-2014-005
https://groups.drupal.org/node/445893