Twórcy szeroko rozpowszechnionego systemu zarządzania treścią Drupal opublikowali łatkę, która w wersji 7 oprogramowania ma zniwelować sklasyfikowaną jako krytyczną lukę w iniekcjach SQL. Według firmy zajmującej się bezpieczeństwem, Volexity, napastnicy mogą używać ich do wydawania dowolnych poleceń SQL bez uprzedniego uwierzytelnienia, a tym samym przejęcia kontroli nad całym CMS i zarządzaną witryną.

Słabym punktem jest tzw. API abstrakcji bazy danych od Drupala. Interfejs programistyczny służy do sprawdzania zapytań SQL w bazie danych i, jeśli to konieczne, do ich filtrowania.

W rzeczywistości ma to zapobiec atakom typu SQL injection. W tym przypadku jednak API umożliwia wykonanie poleceń SQL, które mogłyby np. manipulować bazą danych, która za nim stoi, tak aby atakujący mogli np. uzyskać dostęp do danych użytkownika. Możliwe jest również, że nieupoważnione osoby mogą uzyskać dostęp do Drupala jako administratorzy poprzez eskalację uprawnień lub przemycić szkodliwy kod PHP.

Dlatego Volexity zdecydowanie zaleca użytkownikom Drupala aktualizację do wersji 7.32 wydanej w środę. Według dostawcy bezpieczeństwa, operatorzy stron internetowych powinni również zbadać swój system, bazę danych i pliki dzienników pod kątem potencjalnych ataków. Użytkownik rozpoznaje włamanie np. po tym, że nie można już zalogować się na konto administratora. Ponadto nazwa konta jest ustawiona na „Własne”.

Operatorom zaleca się również ponowne skonfigurowanie serwera WWW w najgorszym przypadku i zainstalowanie najnowszej wersji Drupala na nowym systemie. Ponadto, zgodnie z Volexity, dostęp do kont użytkowników i administratorów powinien być ograniczony, a uwierzytelnianie dwuskładnikowe powinno być zintegrowane. Firma poleca rozwiązanie firmy Duo Security.

Wskazówka: na ile masz pewność co do bezpieczeństwa? Sprawdź swoją wiedzę - za pomocą 15 pytań na stronie silicon.de