user_mobilelogo

Het opensource-cms Drupal kampt in versie 7 met een bug in de zogeheten database abstraction api. Hierdoor kunnen kwaadwillenden sql-injecties uitvoeren op kwetsbare websites. Drupal noemt de bug zeer kritiek en heeft update 7.32 uitgebracht.

De bug in Drupal Core, de basis van het cms, is pijnlijk te noemen voor Drupal: de database abstraction api is juist bedoeld om databasequeries te controleren op de geleverde input. Bovendien werd de fout in de code al bijna een jaar geleden publiek gepost op de website van Drupal. Het blijkt desondanks mogelijk om sql-injecties uit te voeren op Drupal-websites die draaien op versie 7.x. Hierdoor kan een aanvaller adminrechten verkrijgen en onder andere gegevens buitmaken, verwijderen of een website offline halen.

Drupal noemt de bug 'zeer kritiek' en heeft inmiddels versie 7.32 uitgebracht om het gat te dichten. Gebruikers van Drupal 7.31 en lager wordt aangeraden om zo snel mogelijk de update te installeren. Drupal-gebruikers die hun website niet zelf kunnen updaten kunnen met een aanpassing van de code in het bestand 'database.inc' ook handmatig een reparatie uitvoeren. Versie 6.x is overigens niet kwetsbaar voor deze aanvalsmethode.

De bug zit ook in de beta van Drupal 8. Er is een update uitgebracht om de bug te verhelpen.

bron: tweakers.net