Drupal Security Issues Er du klar over dem?

Sjansen er at nå har alle Drupal eiere og utviklere er gjort kjent med de alvorlige sikkerhetsproblemer som beskjæres opp i dette utviklingsmiljø en gang rundt midten av oktober i år. Med Drupal sikkerhetsteamet å utstede en advarsel for et par uker senere, den bare tjente til å eskalere alvorlighetsgraden av problemet.

I denne artikkelen tar vi sikte på å gi deg en oversikt over problemet og virkningen det hadde på den generelle utviklingen samfunnet.

Var det virkelig så ille?

For å være ærlig, den sikkerhetsproblem kunne ikke ha fått noe verre! Drupal Security team gitt den med en rating på 25/25 som betyr høy gransking. I de fleste tilfeller betyr ikke sikkerhetsRangering ikke overstige 12 eller 13, påvirker bare et begrenset antall steder og poserer svært liten mengde til farer så alvorlighetsgraden av situasjonen kan lett dømt. Dette problemet resulterte i praktisk talt alle Drupal 7 nettsiden blir påvirket, og også forlot dem svært sårbare for å bli fullstendig tatt over.

Videre angripe denne feilen viste seg å være veldig enkelt. Noen ganger, hackere trenger dager på å finne ut en måte forbi et sikkerhetsproblem, men i dette tilfellet saken var så opplagt at områder ble overlatt til seg selv. Mens de større rullet ut sine egne oppdateringer, det var de mindre nettstedene i gjennomsnitt hosting-tjenester som var mest utsatt for angrep.

Når det hele startet ...

Spørsmålet ble først rapportert tilbake i november 2013. Imidlertid ble tilstanden betegnet som en funksjon forespørsel og ikke eskalert til Drupal sikkerhetsteam. Saken ble brakt til innkalling av utviklerne i september 2014 og en offisiell kunngjøring gjort i oktober samme år. En oppfølging advisory board ble satt opp der vekt ble gitt til det opprinnelige problemet, noe som resulterer i en kollektiv freak out for Internett.

Finne sikkerhetsproblem ...

Problemet lå i filen /includes/database/database.inc. Dermed for å fikse problemet, alt som var nødvendig var å erstatte en enkelt tekstlinje i database.inc filen:

foreach ($ data som $ i => $ value) {

Ble å bli erstattet med

foreach (array_values ​​($ data) som $ i => verdi) {

Hva gjør at eneste linje med kode så farlig?

For å sette ting i enkle perspektiver, hackere tok full nytte av denne eneste linje med sårbarhet for å få tilgang til de mål nettstedet databaser. Når du er inne, var det flere teknikker som de kunne ansette for brudd på vakthold. Et populært alternativ var å skape administratorkontoer. Deretter ville de gjøre det mulig for PHP modul med å skrive kode direkte til filene på nettstedet. Drupal 8 ikke har denne PHP-modulen for derved å hindre forekomster av slike uvennlige angrep.

Hackere ikke sparte noen av de populære nettstedene.

En rekke populære og store nettsteder rundt om i verden ble påvirket som følge av dette sikkerhetsproblemet med Drupal. Popsci.com, Homestead.com, Typepad.com, Spin.com, og Advertise.com er noen av navnene som kommer til hjernen.

Med Drupal Security teamet innser problemene rett tid, alvorlige cyber-angrep ble spart på mange nettsteder rundt om i verden.



Previous:
Next Page: