Sårbarheder, sikkerhedshuller er der nok af. Nu der fundet flere af slagsen i et system, som mange af de store websites bruger.
Sikkerhedsfirmaet CSIS har onsdag morgen fundet endnu en sårbarhed i et stort og omfattende system. Et af de mest udbredte og populære CMS (Content Management Systemer) er ramt af en yderst kritisk svaghed, som gør det muligt for en anonym angriber at overtage kontrollen med webserveren.
Derfor bør alle Drupal-installationer med det samme opgraderes til version 7.32, skriver CSIS Security Group på deres hjemmeside.
Angiveligt bruger op mod 12 procent af verdens 100.000 største hjemmesider Drupal som kernen i deres system. CSIS råder derfor, som før nævnt, til at man med det samme opdaterer til version 7.32 af Drupal og hvis dette, af forskellige årsager og hensyn, ikke er en mulighed, er der publiceret et patch som kan hentes her, skriver CSIS på deres hjemmeside.
Den tekniske del af fejlen skriver CSIS om sådan her:
»Sårbarheden introduceres i et database abstraction API, som ironisk nok skal sikre, at forespørgsler mod databasen bliver saniteret for at forhindre SQL-injektion. Igennem netop dette API er det muligt for en angriber at sende særligt udformede anmodninger, som kan resultere i arbitrær SQL-eksekvering. Angreb kan føre til rettighedseskalering, arbitrær PHP eksekvering m.v. Resultatet, er som før nævnt, kompromittering af webserveren.«
»Den pågældende sårbarhed har fået tildelt CVE-ID: CVE-2014-3704 og berører alle versioner af Drupal fra version 7.0 og tidligere end version 7.32. Drupal regner også med at frigive en opdatering til Drupal 6 core, men det er uvist om det er relateret,« skriver CSIS på deres hjemmeside.
Leave a Reply