【漏洞預警】Drupal 7.x 存在SQL Injection 弱點

發佈編號 發佈時間
事故類型 ANA-漏洞預警 發現時間 2014-10-20 00:00:00
影響等級    
[主旨說明:]【漏洞預警】Drupal 7.x 存在SQL Injection 弱點
[內容說明:]
轉發國家資通安全會報 技術服務中心 漏洞/資安訊息警訊 ICST-ANA-2014-0026 

1.Drupal是開放源碼的內容管理平台。Drupal 7.31之前版本存在SQL Injection弱點,可能會讓攻擊者不需要任何帳號與認證,即可透過發送特殊要求,執行遠端執行任意的SQL查詢,取得Drupal網站的管理者權限,甚至可在不留任何日誌的情況下執行程式。
 
2.此弱點已經有實作攻擊手法及工具出現,建議受影響之系統應儘速更新。 

此訊息僅發送到「區縣市網路中心」,煩請貴單位協助公告或轉發
[影響平台:]
所有安裝Drupal 7.31之前版本的系統平台
[建議措施:]
1.建議參考官網公告儘速更新至版本7.32。 

2.若暫時無法升級,則建議先安裝 patch 修正 /includes/database/database.inc 檔案。
 
Patch: https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch
[參考資料:]
1.SA-CORE-2014-005 - Drupal core - SQL injection - Drupal 
https://www.drupal.org/SA-CORE-2014-005 

2.[嚴重漏洞] 立即更新 Drupal 7.x 到 7.32 – Drupal Taiwan 
http://drupaltaiwan.org/forum/20141016/11364 

如果您對此通告的內容有疑問或有關於此事件的建議,請勿直接回覆此信件,請以下述聯絡資訊與我們連絡。國家資通安全會報 技術服務中心 (http://www.icst.org.tw/)
地 址: 台北市富陽街116號
聯絡電話: 02-27339922
傳真電話: 02-27331655
電子郵件信箱: service@icst.org.tw

相關附件: 沒有附件

 

 

中國醫藥大學資訊中心

台中市學士路91號 互助大樓七樓 ∣04-22053366分機1590 ∣ cc@mail.cmu.edu.tw