drupalgeddon_smallWczoraj około 22 miałem rzadki dylemat – pójść spać czy aktualizować mój jedyny serwis oparty o Drupala 7, dla którego kilka godzin wcześniej ogłoszono krytyczną lukę bezpieczeństwa oraz wydanie nowej wersji – 7.32.

Jeśli jeszcze nie załataliście swoich witryn to zróbcie to najszybciej jak się da, bo jest się czego obawiać. Luka pozwala przejąć 100% kontrolę nad Waszą stroną za pomocą zwykłego SQL Injection. Co gorsza atakujący nie musi mieć żadnych wcześniej nabytych uprawnień. Wystarczy, że sprytnie spreparuje URL i już będzie miał konto administratora strony.

Luka została odkryta w trakcie niezależnego audytu zleconego firmie SektionEins. Jak się okazuje istniała w systemie od 2011 roku. Podatność dostała już swoją „pieszczotliwą” nazwę własną – Drupageddon.

 

 

Biuletyn elimu

Wysyłany raz w miesiącu

Nie spamujemy! Zajrzyj do polityki prywatności po więcej informacji