LINUX.ORG.RU

Критическая уязвимость в Drupal 7

 , ,


0

1

15 октября вышло обновление ядра до версии 7.32, которое устраняет уязвимость, позволяющую выполнение инъекции SQL до прохождения авторизации, вследствие чего возможно выполнение произвольных запросов к базе без предоставления каких-либо учетных данных.

Для закрытия уязвимости достаточно заменить только файл /includes/database/database.inc. До обновления уязвимость сохраняется даже в режиме обслуживания.

Для данной уязвимости уже есть рабочие эксплоиты.

Drupal — это популярная открытая система управления содержимым (CMS), установленная на миллионах сайтов в Интернете. Уязвимость была обнаружена во время аудита кода компанией Sektion Eins.

Обсуждение на хабре

>>> Подробности

★★★

Проверено: Shaman007 ()

позволяющую выполнение инъекции SQL

Они не используют PDO? ахаха.

leg0las ★★★★★ ()
Ответ на: комментарий от leg0las

каким образом использование PDO предотвращает SQL-инъекции?

Lincor ()

Друпал еще жив, офигеть, я думал он давно рипнулся :)

garik_keghen ★★★★★ ()
Последнее исправление: garik_keghen (всего исправлений: 1)
Ответ на: комментарий от Lincor

что мешает не использовать их с PDO?

Здравый смысл.

ritsufag ★★★★★ ()
Ответ на: комментарий от ritsufag

здравый смысл не допустит таких уязвимостей и без PDO. однако, здравый смысл у некоторых людей развит слабо. программисты на PHP в зоне риска.

Lincor ()
Ответ на: комментарий от garik_keghen

Друпал еще жив, офигеть, я думал он давно рипнулся :)

Куда ж ему рипаться, альтернатив раз-два и обчёлся.

hobbit ★★★★★ ()
Ответ на: комментарий от garik_keghen

...и обчёлся. При этом вордпресс традиционно считается всё-таки в первую очередь движком для блогов, кажется?

(Я, если что вордпрессом не сам не пользовался. Только на продукцию других смотрел. Можешь меня переубедить. С сабжем небольшой опыт есть.)

hobbit ★★★★★ ()
Ответ на: комментарий от garik_keghen

Кстати, ведь в интернете тысячи необновляемых сайтов. Почему ботнеты их пачками не ломают?

Xroft ★★ ()
Ответ на: комментарий от hobbit

Таки да, но при желании из вордпресса можно сделать, что хочешь.

garik_keghen ★★★★★ ()
Ответ на: комментарий от Xroft

Достаточно поставить нормальный пароль, выставить права на конфиги 444. И ставить обновы конечно же.

garik_keghen ★★★★★ ()
Последнее исправление: garik_keghen (всего исправлений: 1)
Ответ на: комментарий от risenshnobel

Ещё как ломают.

Ну вот я знаю пару сайтов сделанных на старом WP и что-то их никто никогда не трогал. Ломают же боты? По каким критериям они их тогда выбирают?

Xroft ★★ ()
Ответ на: комментарий от Xroft

Ну вот я знаю пару сайтов сделанных на старом WP и что-то их никто никогда не трогал.

Я за последний год столкнулся с несколькими, на wp, shop-script, umi и какой-то самодельной фигне. Движки всегда были старыми и кривыми.

В некоторых случаях явно были боты (втыкалась какая-то ерунда вроде free indonesia с flash и музыкой), в некоторых - более-менее целенаправленный взлом, с указанием адреса почты и требованием денег.

risenshnobel ★★★ ()
Ответ на: комментарий от Xroft

откуда вы знаете? может там давно рутки стоит и ботнет

anonymous ()
Ответ на: комментарий от Xroft

Почему не ломают? Ломают. У моего одного товарища кучка говносайтиков на вордпрессе, я ему регулярно шеллы оттуда вычищаю. Спам рассылают в основном. Один раз только попался какой-то настойчивый кулхацкер и удалил всё что смог по правам.

Причём с теми сайтиками, которые его говнокодеры уже не обновляют, как раз всё хорошо, там достаточно закрыть правами на запись всё, кроме нескольких директорий, а в них запретить выполнение скриптов. Беда, когда им ещё и плагинчики через онлайн ставить нужно... Я уж думаю, может проставить права так, чтобы админка работала в fpm под отдельным от сайта юзером...

vitalif ★★★★ ()

Критическая уязвимость — Drupal 7
FIXED.

vsh ()
Ответ на: комментарий от garik_keghen

> альтернатив раз-два и обчёлся
Вордпресс, джумула.

бггггг, ты сделал мой завтрашний день, давно так не смеялся
и кстати джумла ещё не рип?

q11q11 ★★★★★ ()

Хеши и массивы смешаны. В погоне за лёгкостью разработки теряем ясность выражения мысли.

Wizard_ ★★★★★ ()
Ответ на: комментарий от garik_keghen

Таки да, но при желании из вордпресса можно сделать, что хочешь.

при условии, что это будет блогом. Или новостной лентой. Иначе куда проще делать из чего-нибудь более другого.

arkhnchul ★★ ()
Ответ на: комментарий от leg0las

Они не используют PDO? ахаха.

Они используют PDO, косяк в генераторе запроса. Вообще, баг весьма эпичен: отрепортили его ещё в прошлом году, автор приложил даже патч с фиксом; разрабы же тупо забили на это, а тэг Security проигнорировали. Виноватыми же у них теперь стали все, включая автора багрепорта, кроме них самих.

Косяк, собственно, заключается в том, что в конструкторе запроса использовался foreach по ассоциативному массиву входных параметров вида [«имя_параметра» => [массив значений]]. Вложенный foreach обходил этот массив и приводил всё это добро к виду [имя_параметра_0 => значение_0, имя_параметра_1 => значение_1...]. При этом за счётчик брался индекс элемента самого массива. Если же это был не обычный массив с числовыми индексами, а ассоциативный со строковыми индексами, то получалось что-то вроде «имя_параметра_0 OR 1=1...». Результат же использовался как часть строки запроса для prepared statement, что и было уязвимым для инъекции (а значения параметров как положено передавались биндингом, и разрабы надеялись, что всё нормально).

static_lab ★★★★★ ()
Последнее исправление: static_lab (всего исправлений: 1)
Ответ на: комментарий от static_lab

За такое в принципе надо убивать.

Почему урлы никто не верифицирует? Как можно массив из урла или пост-запроса пихать напрямую в sql?

бред же.

AVL2 ★★★★★ ()
Ответ на: комментарий от anonymous

Клозед соурс в этом плане вобще недостижимо лажает.

AVL2 ★★★★★ ()

Хокку

Новости LOR-а
Настолько свежи,
Как свежий релиз Debian-а...

TOPT ()

SQL инъекция в PHP коде? Сенсация!

jekader ★★★★★ ()

Замечания:
Не «инъекция» (мед.), а «внедрение».
И не «Drupal — это бла-бла...», а «Drupal - похапэшное поделие...»

matumba ★★★★★ ()
Ответ на: комментарий от static_lab

имя_параметра_0 OR 1=1

Извините, не спец по друпал и пыху. Разве экранировать все и вся уже отменили из best practice?

gh0stwizard ★★★★★ ()
Ответ на: Хокку от TOPT

5-7-5

Новости LOR-a,
Как Дебиана релиз,
Настолько свежи.

yoghurt ★★★★★ ()
Ответ на: комментарий от garik_keghen

ну так и ты не свисти если не в теме! ко всему друпал ещё и развивается.
А жумла как была 5 лет назад, так и осталась в том-же состоянии, ну разве что обвеску из плугов обновляют + багфиксы.

q11q11 ★★★★★ ()
Ответ на: комментарий от Xroft

раз на раз не приходится

Ну вот я знаю пару сайтов сделанных на старом WP

Анекдот про неуловимого Джо знаешь?

У моего знакомого сайт на вордпрессе который ломают регулярно не смотря на постоянные обновления и кучу «плагинов безопасности». Он сменил уже несколько хостингов, когда думал что ломают через админку хостера, безрезультатно.

shrub ★★★★★ ()
Ответ на: комментарий от q11q11

Не, с того времени там хотя бы теги появились. И mootools, наконец, выбросили. Самая главная инновация: можно сохранять пустые статьи и за это тебе ничего не будет, lol.

anonymous ()
Ответ на: комментарий от gh0stwizard

А что в строке «имя_параметра_0 OR 1=1» ты собрался экранировать?

AVL2 ★★★★★ ()
Ответ на: комментарий от AVL2

Туда, куда эта строка подставляется, т.е. все выражение. А пока, ощущение, что защита у них типа одинарных кавычек: 'имя_параметра_0 OR 1=1' (мы защищены!).

gh0stwizard ★★★★★ ()

Несколько лет на серваке в наружку открытыми мордами торчали Drupal, Joomla, WordPress, MODX, с логином/паролем админки Admin/Admin. Торчало все это для экспериментов. Сервак не был подключен к внутренней интранет-сети - один сетевой порт, один сетевой ip. И что интересно, за те несколько лет, что сервак простоял голым наружу - никто на него так и не зашел; никто так и не попытался подобрать логин-пароль. Никому это не было нужно.

А тут выясняется, что все всех взламывают. Шелы впихивают. Уязвимости выискивают. А к нам никто интерес так и не проявил. Видно мы были никому не нужны. А ели кто представляет интерес - так его не через эту, так через другую дыру ломанут.

ivanlex ★★★★ ()
Ответ на: комментарий от ivanlex

Прохладная история Неуловимого Джо.

anonymous ()
Ответ на: комментарий от anonymous

Если тебя никто не ищет, значит ты никому не нужен.

ivanlex ★★★★ ()

все-таки похапе — не только язык, но особая культура разработки. свяо атмсофреа.

anonymous ()
Ответ на: комментарий от Xroft

Ну вот я знаю пару сайтов сделанных на старом WP и что-то их никто никогда не трогал. Ломают же боты?

Потому что пара сайтов - это хреновая выборка.

xtraeft ★★☆☆ ()
Ответ на: комментарий от garik_keghen

Жив, и даже весьма неплохо развивается. Вы из какой-то параллельной вселенной, видимо.

LookOne ()
Ответ на: комментарий от LookOne

Жив, и даже весьма неплохо развивается.

Обновление ядра через веб админку до сих пор не запилили?

xtraeft ★★☆☆ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.