A múlt hónapban fedezte fel a SektionEins a Drupal 7.x verziókban egy olyan sérülékenységét, amely adatmanipulációkra is lehetőséget adhat. A sebezhetőséget az adatbázisok kezeléséért felelős egyik API tartalmazza, amely nem ellenőrzi megfelelően a bemeneti paramétereket. A buherátorok kedvéért: a hiba az includes/database/database.inc fájlban található Database::expandArguments() nevű metódus kapcsán merült fel – írta a Biztonságportál.

Ez tulajdonképpen egy olyan SQL injection hiba, ami jogosulatlan műveletek végrehajtására is lehetőséget ad. A sikeres támadáshoz ráadásul nem kell érvényes felhasználónév-jelszó páros sem a támadott rendszerhez.

Elkészültek az exploitok is

A neten már elérhetők azok a kódok, melyekkel a sérülékenység kihasználható, így csak idő kérdése, hogy a hiba mikor vezet szélesebb körű problémákhoz. A Drupal szerint ráadásul az eddig publikált exploitokkal nem csak az adatbázisokhoz lehet hozzáférni jogosulatlanul, hanem bizonyos körülmények között meg lehet emelni a jogosultsági szintet, és tetszőleges PHP-kódokat is lehet futtatni a rendszerben.

Az sem könnyíti meg a védekezést, hogy a rést kihasználó exploitok, illetve technikák meglehetősen nehezen detektálhatóak.

Nem csak frissítéssel lehet javítani

A meglehetősen veszélyes sebezhetőségre a Drupal kódjának auditálása során figyeltek fel a SektionEins szakértői. A fejlesztők azóta a javítással is elkészültek – írta a Biztonságportál. Mivel az exploitok ügyesen rejtőzködnek, érdemes mihamarabb kiküszöbölni a biztonsági rést.

Erre kétféle módszer is ajánlanak a Drupal fejlesztői: vagy az alkalmazás 7.32-es kiadására való frissítést, vagy az includes/database/database.inc állományt manuális módosítását. A néhány soros módosításhoz a Drupal weboldalán található a segítség.