Your browser does not support JavaScript!
:::
:::
【漏洞預警】Drupal 7.x 存在SQL Injection 弱點

攻擊者只要利用簡單的HTTP要求即可取得Drupal網站的控制權,並在網站上執行任意程式碼,甚至可在不留任何日誌的情況下執行程式。避免相關攻擊的唯一方法為立即更新,建議各單位立即更新到最新釋出的Drupal 7.32

 

原發佈內容如下:

 

教育機構ANA通報平台

 

發佈編號        TACERT-ANA-2014102308103333

發佈時間        2014-10-23 09:08:04

事故類型        ANA-漏洞預警       

發現時間        2014-10-20 00:00:00

影響等級                   

 

 

[主旨說明:]

【漏洞預警】Drupal 7.x 存在SQL Injection 弱點

 

[內容說明:]

 

轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0026

 

1.Drupal是開放源碼的內容管理平台。Drupal 7.31之前版本存在SQL Injection弱點,可能會讓攻擊者不需要任何帳號與認證,即可透過發送特殊要求,執行遠端執行任意的SQL查詢,取得Drupal網站的管理者權限,甚至可在不留任何日誌的情況下執行程式。

 

2.此弱點已經有實作攻擊手法及工具出現,建議受影響之系統應儘速更新。

 

 [影響平台:]

 

所有安裝Drupal 7.31之前版本的系統平台

 

[建議措施:]

 

1.建議參考官網公告儘速更新至版本7.32

 

2.若暫時無法升級,則建議先安裝 patch 修正 /includes/database/database.inc 檔案。

 

Patch: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

 

[參考資料:]

 

1.SA-CORE-2014-005 - Drupal core - SQL injection - Drupal

https://www.drupal.org/SA-CORE-2014-005

 

2.[嚴重漏洞] 立即更新 Drupal 7.x 7.32 Drupal Taiwan

http://drupaltaiwan.org/forum/20141016/11364

 

國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)

址: 台北市富陽街116

聯絡電話: 02-27339922

傳真電話: 02-27331655

電子郵件信箱: service@icst.org.tw

 

教育機構資安通報應變小組

網址:https://info.cert.tanet.edu.tw/

專線電話:07-5250211

網路電話:98400000

E-Mailservice@cert.tanet.edu.tw

 

資訊中心敬啟

 

瀏覽數  
將此文章推薦給親友
請輸入此驗證碼
Voice Play
更換驗證碼
最後更新日期
2017-11-21