发布于 2014-10-31 22:56:57 | 211 次阅读 | 评论: 0 | 来源: 网友投递
Drupal开源内容管理框架
Drupal是使用PHP语言编写的开源内容管理框架(CMF),它由内容管理系统(CMS)和PHP开发框架(Framework)共同构成。连续多年荣获全球最佳CMS大奖,是基于PHP语言最著名的WEB应用程序。
Drupal是今天新闻、博客等内容网站最流行的内容管理平台之一,和安全牛之前报道过的影响170万网站的wordpress插件漏洞一样,Drupal近日也爆出一个影响上百万网站的严重安全漏洞,更糟糕的是漏洞发布7小时内就遭受自动化攻击,这意味着大量Drupal网站都无法幸免。
昨天Drupal发出紧急通知:
10月15日一个Drupal平台的SQL注入漏洞在公布7小时内遭受黑客大规模自动化攻击,所有在该漏洞发布7小时内没有及时更新补丁或升级到Drupal 7.32版本的用户都可能已经遭受攻击。
根据Drupal的官方紧急安全通告,制造麻烦的SQL注入漏洞代号SA-CORE-2014-005, 危险等级为25/25最高级别安全漏洞。Drupal建议所有Drupal网站立刻升级到7.32版本,但有些闹心的是,这样对于已经被攻击的网站来说于 事无补,正如文章开头提到的,15日漏洞发布7小时内没有即使打补丁或者升级的网站都需要将数据回滚到15日之前的备份,这意味着大量没有及时打补丁的网 站15-30日之间更新的内容需要重新上传。
讽刺的是,该SQL注入漏洞恰恰存在于Drupal自己的SQL注入防护技术中:
Drupal 7提供了一个数据库抽象API来过滤数据库查询执行指令,防止SQL注入攻击。
但这个API的一个漏洞允许攻击者发送特定请求获得数据库的控制权限,例如篡改或删除内容,传播恶意软件,发起“水源地攻击”等。
根据W3Techs的统计,目前全球有1.9-5.1%的网站使用Drupal,其中65%安装了Drupal 7,按照全球约10亿网站计算,至少有120万网站面临Drupal漏洞攻击的威胁。
安全牛点评:随着攻击的自动化和智能化,漏洞发布到黑客攻击之间的升级补丁窗口期变得越来越短,Drupal的SQL注入漏洞7小时之内遭受大规模自动化攻击就为广大信息安全人士敲响了警钟,此前Shellshock漏洞的发布也导致了大量攻击事件的发生,这需要安全界反思目前“简单粗暴”的漏洞发布机制。