xandeadx.ru Блог музицирующего веб-девелопера

Drupal → Критическая уязвимость Drupal 7 (SA-CORE-2014-005)

Опубликовано в

В Drupal 7 нашли критическую уязвимость типа SQL Injection. Уязвимы все версии Drupal 7 до версии 7.31 включительно. Уязвимость крайне опасна — любой анонимный пользователь может выполнить любой sql код (добавить супер юзера, удалить таблицу, слить дамп). В сети уже есть рабочий POC. Настоятельно рекомендую обновиться до версии 7.32. После обновления проверьте наличие лишних пользователей с правами администратора.

Подробности.

Обсуждения:
habrahabr.ru
drupal.ru
searchengines.guru

Update 1: днём появились рабочие эксплойты.

Update 2: в блоге Acquia появился пример SQL запроса, с помощью которого можно заливать файлы на атакуемый сайт.

Update 3: пользователи массово рапортуют, что на не обновлённых сайтах стал появляться суперюзер с именем drupaldev и ролью megauser.

Update 4: в блоге Acquia разместили самые популярные векторы атак с использованием SA-CORE-2014-005.

Написанное актуально для Drupal 7.31-
Похожие записи

Комментарии RSS

У меня на одном из сайтов обнаружился странный пользователь 'drupaldev' с ролью 'megauser'. Странность пользователя в том, что дата его создания значилась что-то около 44 года назад и у него не был указан e-mail.
Уязвимость есть и она работает.
Сейчас обновил все сайты и сменил все пароли, чего и всем советую.

44 года назад начался unix timestamp :)

Будут иметь ввиду ;)

Спасибо за пост! Из десятка сайтов на D7, шесть обладали пользователем drupaldev. При том, все сайты не особо посещаемые и малоизвестные... Раньше не придавал такого значения новостям об уязвимостях, но тут пересмотрел своё отношение...

P.S. Поле "e-mail" не помечено звёздочкой, хотя и является обязательным. ;)

А у меня админы шаред-хостинга сами оперативно наложили патч на все друпал-сайты. Но это так, для статистики.

После обновления перестал работать модуль Yandex.Maps, вместо блока с картой пустое место отображается, заметил что это не у меня одного, вот например в демо их модуля аналогичная проблема - http://yandex.xyz.tom.ru/
И ваш модуль Geofield Yandex Maps так же перестал работать, судя по странице демонстрации - http://ymap.xnddx.ru/node/76

У меня всё работает.

Реальная фигня, у меня на сайтах где есть регистрация практически везде появился странный юзер drupaldev, умудрился сменить имя юзера 1 и пытался авторизоваться с него. Реально опасная хрень. обновился в массовом порядке

Алекей, вс 19/10/2014 - 21:02
А у меня админы шаред-хостинга сами оперативно наложили патч на все друпал-сайты. Но это так, для статистики.

IT-patrol, насколько я знаю, всем патч накатили автоматом, только вот произошло это уже после того, как сайты обзавелись левым пользователем.

IT-patrol, насколько я знаю, всем патч накатили автоматом, только вот произошло это уже после того, как сайты обзавелись левым пользователем.

Не, у меня не IT-patrol. Не знаю когда конкретно был наложен патч, но уведомление об этом пришло 17.10 в пять часов утра. Почти оперативно. В этот же день, но ближе к вечеру в журнале появились вот такие записи:

PDOException: SQLSTATE[42000]: Syntax error or access violation: 1064 You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ' 'test' AND status = 1' at line 1: SELECT * FROM {users} WHERE name = :name_0, :name_1 AND status = 1; Array ( [:name_0] => test3 [:name_1] => test )

Не знаю, относится ли это к попыткам воспользоваться брешью.

Ни на одном сайте левых пользователей не появилось. Но это, скорей, потому, что сайты малопосещаемые.

Случайно обнаружил на одном из своих сайтов пользователя DRUPALDEV. На сайте он 44 года, права админа и почта drupdev@gmail.com. Был очень удивлен

Дык, что он вообще делает, помимо создания этого юзера? У меня на 30 сайтах был этот юзер. Я поставил пач, юзеров снес. Стоит ждать ништяков, или все норм будет после удаления этого юзера и установки пача? Ведь получив админа, можно получить доступ абсолютно ко всему, и базе и файловой системе.

Кстати, "уведомлять меня о новых комментариях" каким модулем реализуется?

Короче, первое проявление - модификация htaccess и index.php - редирект для андроидовых устройств на приложение с вирусом.

Подскажите, пожалуйста. Если сайт уже атаковали, я нашел на сайте не своих пользователей. Мне надо:
1. удалить группу мегаузер
2. удалить лишних пользователей
3. целиком обновить все файлы, кроме каталога sites
4. сменить пароль админу
------
также пишут, что там еще меню роуты заражают. Что такое меню роуты и как их проверить?
Что еще надо делать для зараженного сайта?

Если еще будет кому-то актуально, а времени мало с большим удовольствием вылечу ваш Друпал сайт от вирусов. Дорого

Оставить комментарий

Содержимое этого поля является приватным и не будет отображаться публично. Если у вас есть аккаунт в Gravatar, привязанный к этому e-mail адресу, то он будет использован для отображения аватара.
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Доступные HTML теги: <a> <i> <b> <strong> <code> <ul> <ol> <li> <blockquote> <em> <s>
  • Строки и параграфы переносятся автоматически.
  • Подсветка кода осуществляется с помощью тегов: <code>, <css>, <html>, <ini>, <javascript>, <sql>, <php>. Поддерживаемые стили выделения кода: <foo>, [foo].

Подробнее о форматировании