SQLi w Drupalu czyli Drupageddon

dodał 15 października 2014 o 21:16 w kategorii Błędy, Drobiazgi  z tagami:

Czy to już koniec czarnej serii błędów w popularnych rozwiązaniach IT? W dojrzałych platformach rzadko trafiają się już tak krytyczne błędy jak SQLi. Tym razem jednak błąd drzemał w trzewiach Drupala od roku 2011 i został odkryty przy okazji audytu kodu źródłowego platformy wykonywanego przez Stefana Essera (znanego głównie z jailbreaków iOSa).

drupageddon

Co ciekawe, błąd występuje w API Drupala, którego jednym z zadań miało być eliminowanie ataków typu SQLi. Wystarczy jedno żądanie HTTP by np. dodać do bazy nowe konto administratora. Podatne są wszystkie wersje od roku 2011 do dzisiaj. Błąd poprawiono w wersji 7.32. Szczegóły techniczne znajdziecie pod tym linkiem. Łatwo go zapamiętać – jego alias to zgodnie z ostatnią modą Drupageddon.com.