Drupal lukker alvorligt sikkerhedshul

Artiklen blev oprindeligt publiceret den 17/10/2014

Udviklerne af CMS'et Drupal har lukket et alvorligt sikkerhedshul, der lader angribere afvikle SQL-kommandoer.

En angriber kan udnytte sårbarheden uden at være logget ind på det sårbare system.

Der er tale om en sårbarhed af typen SQL-indsætning. Ironisk nok findes den i et modul, der netop har til formål at forhindre SQL-indsætning.

Fejlen er rettet i Drupal 7.32.

Sikkerhedsfirmaet Sucuri har set kodeeksempler, der udnytter sårbarheden, på flere hackerfora. Derfor venter de, at angreb snart vil følge.

Anbefaling
Brugere af Drupal 7.x bør hurtigst muligt opgradere til version 7.32. Alternativt kan de installere en patch til filen database.inc.

Links

• SA-CORE-2014-005 - Drupal core - SQL injection, advarsel fra Drupal
• Drupal websites urged to upgrade or patch, blogindlæg fra ThirdCertainty
• Highly Critical SQL Injection Vulnerability Patched in Drupal Core, blogindlæg fra Sucuri