Mediawax
Inloggen
okt
16
Gevaarlijke bug in Drupal 7 maakt cms gevoelig voor sql-injecties
19:20 | Geplaatst in > nieuws
Hierdoor kunnen kwaadwillenden sql-injecties uitvoeren op kwetsbare websites. Drupal noemt de bug zeer kritiek en heeft update 7.32 uitgebracht.
De bug in Drupal Core, de basis van het cms, is pijnlijk te noemen voor Drupal: de database abstraction api is juist bedoeld om databasequeries te controleren op de geleverde input. Bovendien werd de fout in de code al bijna een jaar geleden publiek gepost op de website van Drupal.
Het blijkt desondanks mogelijk om sql-injecties uit te voeren op Drupal-websites die draaien op versie 7.x. Hierdoor kan een aanvaller adminrechten verkrijgen en onder andere gegevens buitmaken, verwijderen of een website offline halen.
Drupal noemt de bug 'zeer kritiek' en heeft inmiddels versie 7.32 uitgebracht om het gat te dichten. Gebruikers van Drupal 7.31 en lager wordt aangeraden om zo snel mogelijk de update te installeren.
Drupal-gebruikers die hun website niet zelf kunnen updaten kunnen met een aanpassing van de code in het bestand 'database.inc' ook handmatig een reparatie uitvoeren. Versie 6.x is overigens niet kwetsbaar voor deze aanvalsmethode.
Drupal website: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
Drupal bug: https://www.drupal.org/SA-CORE-2014-005
Bron: tweakers