Вы работаете по незащищенному каналу - Перейти на безопасное подключение (https)

VPN сервис

освободит вас и ваши желания в Интернете

Зачем нужен VPN?

Как VPN работает?

Хочу! Пошагавая инструкция

Бесплатный VPN доступ

Новости компьютерной безопасности

Критическая уязвимость в Drupal

20 Октября 2014

Вслед за уязвимостью в XML-RPC, недавно компанией Sektion Eins была найдена уязвимость, которой подвержены все версии 7 ветки. Она позволяет выполнить произвольный SQL-запрос в БД друпала не имея никаких прав в системе. Опасность определена как наивысшая. 15 октября вышло обновление ядра до версии 7.32, которое устраняет эту уязвимость. Разработчики настоятельно советуют обновить ядро немедленно. Обновление не займёт много времени, необходимо обновить только файл /includes/database/database.inc. Спасти сайты до обновления может только блокировка сайта, maintenance mode не поможет. Уязвимость находилась в функции обработки значений для SQL-запроса. При обработке массива для SQL-функции IN предполагается, что это не ассоциативный массив, ключи участвуют в формировании имени placeholder-а. Если в функцию передать ассоциативный массив со специально сформированными ключами, то можно вмешаться в SQL-запрос. В сети есть эксплоиты по изменению пароля для суперадмина системы (пользователя Drupal-а с ID = 1). Однако ничего не мешает переделать их под любого пользователя и систему.
перейти к источнику

Мы за свободу в Интернете, но против киберпреступности