Серьезная уязвимость в Drupal 7

12
Sano000
На сайте с 12.04.2009
Offline
54
3754

Пробежался глазами и как то не увидел темы про Друпал 7. А между тем это просто катастрофа. Со старых времен осталось три проекта на Друпал, на двух из них обнаружил взлом за 16 число (патч вышел 15-го) плюс скомпрометирован сервер.

В общем не тяните, если есть Друпал, обновиться еще надо было три дня назад причем обязательно.

Если коротко, то sql injection, непривилегированный пользователь может создать учетную запись админа и выполнить любой код на сервере.

Программирование было хобби - стало серьезной работой
Оптимизайка
На сайте с 11.03.2012
Offline
396
#1

Подробнее, с примерами: http://www.securitysift.com/drupal-7-sqli/

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
Geers
На сайте с 12.04.2011
Offline
478
#2
Sano000:

Если коротко, то sql injection, непривилегированный пользователь может создать учетную запись админа и выполнить любой код на сервере.

Можно реальный пример? установить на демо хост, и продемонстрируйте.

NM
На сайте с 18.02.2011
Offline
156
#3

На drupal 6 уязвимость не распространяется?

Мои сайты на продажу (https://www.telderi.ru/ru/search?pid=708286#user_id=11214) Если что-то заинтересовало, пишите.
Sano000
На сайте с 12.04.2009
Offline
54
#4
Geers:
Можно реальный пример? установить на демо хост, и продемонстрируйте.

Оптимизайка дал ссылку на эксплойт. Про "админа" я имел в виду админа виртуального хоста. В моем случае еще как то повысили привилегии системы до рута (линукс тоже не без уязвимостей).

Сегодня прошелся по знакомым проектам. Многое вломано. Детектил по наличию аккаунта с правами админа в системе. Везде одинаковые имена, думаю уже тупо идут через поиск и ломают все вподряд.

NewMoneyMaker:
На drupal 6 уязвимость не распространяется?

нет, там специфично для Drupal 7 ORM

V
На сайте с 18.10.2014
Offline
0
#5

Забудьте про Drupal это не движок, а одни проблемы. И на Safari он толком не работает.

DV
На сайте с 01.05.2010
Offline
644
#6

Юзера как звать?

VDS хостинг ( http://clck.ru/0u97l ) Нет нерешаемых задач ( https://searchengines.guru/ru/forum/806725 ) | Перенос сайтов на Drupal 7 с любых CMS. ( https://searchengines.guru/ru/forum/531842/page6#comment_10504844 )
Sano000
На сайте с 12.04.2009
Offline
54
#7
DenisVS:
Юзера как звать?

drupaldev, роль megauser

DV
На сайте с 01.05.2010
Offline
644
#8

Sano000, подтверждаю, на 4-х сайтах часов 15 назад есть drupaldev.

Черти, придётся прямо сейчас обновлять.

dag
На сайте с 10.02.2007
Offline
197
dag
#9

да, есть drupaldev....

Минигайд по патчу(вручную):

В файле includes/database/database.inc

находим строку:

foreach ($data as $i => $value) {

и заменяем её на:

foreach (array_values($data) as $i => $value) {

Если такой строки нет - уточняйте, возможно ваш хостер уже наложил патч (в виду критичности проблемы).

вот еще почитайте, важно: http://www.zionsecurity.com/blog/2014/10/automated-exploiting-and-backdooring-drupal-7-web-servers

Sano000
На сайте с 12.04.2009
Offline
54
#10

я бы советовал пользоваться drush. Сегодня им обновил десяток сайтов за пол часа.

Вообще за проектами нужно следить, а я забил на эти сайты - как итог взлом сервера с проектами поважнее :(

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий