Drupal是今天新聞、博客等內(nèi)容網(wǎng)站最流行的內(nèi)容管理平臺(tái)之一，和安全牛之前報(bào)道過(guò)的影響170萬(wàn)網(wǎng)站的wordpress插件漏洞一樣，Drupal近日也爆出一個(gè)影響上百萬(wàn)網(wǎng)站的嚴(yán)重安全漏洞，更糟糕的是漏洞發(fā)布7小時(shí)內(nèi)就遭受自動(dòng)化攻擊，這意味著大量Drupal網(wǎng)站都無(wú)法幸免。

昨天Drupal發(fā)出緊急通知：

10月15日一個(gè)Drupal平臺(tái)的SQL注入漏洞在公布7小時(shí)內(nèi)遭受黑客大規(guī)模自動(dòng)化攻擊，所有在該漏洞發(fā)布7小時(shí)內(nèi)沒(méi)有及時(shí)更新補(bǔ)丁或升級(jí)到Drupal 7.32版本的用戶(hù)都可能已經(jīng)遭受攻擊。

根據(jù)Drupal的官方緊急安全通告，制造麻煩的SQL注入漏洞代號(hào)SA-CORE-2014-005,危險(xiǎn)等級(jí)為25/25最高級(jí)別安全漏洞。Drupal建議所有Drupal網(wǎng)站立刻升級(jí)到7.32版本，但有些鬧心的是，這樣對(duì)于已經(jīng)被攻擊的網(wǎng)站來(lái)說(shuō)于事無(wú)補(bǔ)，正如文章開(kāi)頭提到的，15日漏洞發(fā)布7小時(shí)內(nèi)沒(méi)有即使打補(bǔ)丁或者升級(jí)的網(wǎng)站都需要將數(shù)據(jù)回滾到15日之前的備份，這意味著大量沒(méi)有及時(shí)打補(bǔ)丁的網(wǎng)站15-30日之間更新的內(nèi)容需要重新上傳。

諷刺的是，該SQL注入漏洞恰恰存在于Drupal自己的SQL注入防護(hù)技術(shù)中：

Drupal 7提供了一個(gè)數(shù)據(jù)庫(kù)抽象API來(lái)過(guò)濾數(shù)據(jù)庫(kù)查詢(xún)執(zhí)行指令，防止SQL注入攻擊。

但這個(gè)API的一個(gè)漏洞允許攻擊者發(fā)送特定請(qǐng)求獲得數(shù)據(jù)庫(kù)的控制權(quán)限，例如篡改或刪除內(nèi)容，傳播惡意軟件，發(fā)起“水源地攻擊”等。

根據(jù)W3Techs的統(tǒng)計(jì)，目前全球有1.9-5.1%的網(wǎng)站使用Drupal，其中65%安裝了Drupal 7，按照全球約10億網(wǎng)站計(jì)算，至少有120萬(wàn)網(wǎng)站面臨Drupal漏洞攻擊的威脅。