Обнаружена опасная уязвимость в Drupal 7

24.10.2014

Компания Digital Security, предоставляющая консалтинговые услуги в области ИБ, обращает внимание на обнаружение опасной уязвимости в Drupal 7 — PHP-фреймворке с открытым исходным кодом, который используется для построения крупных корпоративных веб-сайтов. Сайты на Drupal используются в госсекторе и ряде российских банков. Уязвимость была найдена более 11 месяцев назад, однако известно о ней стало только недавно.

15 октября немецкая компания SektionEins, специализирующаяся на поиске уязвимостей в веб-продуктах, опубликовала подробности критической уязвимости, которая позволяет неаутентифицированному пользователю без каких-либо прав выполнить произвольный SQL-запрос к базе данных на сервере под управлением Drupal 7. Практически сразу в сети начали появляться эксплоиты для применения данной уязвимости, которые позволяли злоумышленнику незаметно изменить пароль администратора Drupal, не имея на это прав в системе.

Опасность уязвимости заключается в том, что она не оставляет никаких следов в системе — выполненные таким образом запросы не отражаются в логах. Кроме того, отключение сайта штатными средствами Drupal (режим техобслуживания) не ограничивает использование вышеописанного бага. Злоумышленник получает прямой доступ к базе данных, из-за чего может произойти утечка информации.

Уязвимость устранена в Drupal 7.32.