Ne halogassa a Drupal frissítését!

Megjelentek azok a kódok, amelyek a Drupal egyik biztonsági résének kihasználására alkalmasak. A hibajavítás már elérhető, érdemes minél előbb telepíteni.
 

A múlt héten az Isidor Biztonsági Központ már jelezte, hogy a népszerű, széles körben használatos Drupal esetében egy meglehetősen veszélyes sebezhetőség részletei kerültek nyilvánosságra. Valójában a sérülékenységet már a múlt hónapban feltárta a SektionEins cég, amely a Drupal kódjának auditálása során lett figyelmes a biztonsági rendellenességre, és jelezte azt a fejlesztőknek. 

A hibajavítások már elkészültek, és kétféleképpen alkalmazhatók az érintett 7.x verziók esetében. Vagy az alkalmazás 7.32-es kiadására való frissítéssel lehet javítani a hibát, vagy a fejlesztők által kiadott iránymutatások alapján lehet biztonságosabbá tenni a weboldalakat. Ez utóbbi esetben mindössze az "includes/database/database.inc" állomány néhány soros módosítására van szükség.

A megjelent információk szerint a Drupal sebezhetőségét tulajdonképpen egy SQL injection hiba okozza, aminek következtében jogosulatlan műveletek végrehajtására adódhat lehetőségük a támadóknak akár olyan módon is, hogy nem rendelkeznek érvényes felhasználónévvel és jelszóval a célkeresztbe állított rendszer vonatkozásában. 

A kockázatokat fokozza, hogy a sérülékenység kihasználásához szükséges kódok már felbukkantak az interneten, így csak idő kérdése, hogy a hiba mikor vezet szélesebb körű problémákhoz. A Drupal szerint a sebezhetőség, illetve az eddigi exploitok nem kizárólag adatbázisok manipulálására, illetve jogosulatlan adathozzáférésre adhatnak módot, hanem bizonyos körülmények között jogosultsági szint emelésre, és tetszőleges PHP-kódok futtatására is.

A biztonsági rés további problémás jellemzője, hogy a hozzá fejlesztett exploitok, illetve technikák meglehetősen nehezen detektálhatóak, ami szintén a megelőzés és a hibajavítás fontosságára hívja fel a figyelmet.