Wczoraj około 22 miałem rzadki dylemat – pójść spać czy aktualizować mój jedyny serwis oparty o Drupala 7, dla którego kilka godzin wcześniej ogłoszono krytyczną lukę bezpieczeństwa oraz wydanie nowej wersji – 7.32.
Jeśli jeszcze nie załataliście swoich witryn to zróbcie to najszybciej jak się da, bo jest się czego obawiać. Luka pozwala przejąć 100% kontrolę nad Waszą stroną za pomocą zwykłego SQL Injection. Co gorsza atakujący nie musi mieć żadnych wcześniej nabytych uprawnień. Wystarczy, że sprytnie spreparuje URL i już będzie miał konto administratora strony.
Luka została odkryta w trakcie niezależnego audytu zleconego firmie SektionEins. Jak się okazuje istniała w systemie od 2011 roku. Podatność dostała już swoją „pieszczotliwą” nazwę własną – Drupageddon.
A śmieją się z Joomla… echhh…