آسیبپذیری مذکور توسط یک شرکت آلمانی امنیت PHP به نام سکشن انیس کشف شده است که توسط یک مشتری ناشناس برای بررسی و ممیزی Drupal به کار گرفته شده بود.
گروه امنیتی Drupal گزارش داده است که نسخههایی از Drupal 7 تا پیش از ۷٫۳۲ در برابر یک نقص امنیتی تزریق SQL بسیار حیاتی آسیبپذیر هستند.
به گزارش تکنـــــــــــــــــازدانلود:
دروپال سامانه ی مدیریت محتوای متن بازی است که میلیون ها وب گاه مهم با
استفاده از آن ایجاد شده اند. این سامانه توسط یک جامعه ی بسیار فعالی از
علاقه مندان توسعه داده و پشتیبانی می شود.
به گزارش پایگاه اخبار امنیتی فن آوری اطلاعات و ارتباطات، آخرین نسخه ی
این سامانه که با نام دروپال ۷ شناخته می شود، در اغلب سایت های دروپالی
مورد استفاده قرار گرفته است و به همین دلیل آسیب پذیری این سامانه، زنگ
خطری برای بسیاری از وب گاه های دروپالی می باشد.
در حین بررسی کد این CMS، یک آسیب پذیری تزریق SQL در هسته ی دروپال کشف
شده است که مهاجم می تواند با سوء استفاده از آن کنترل کامل وب گاه را با
مجوزهای مدیر وب گاه به دست بگیرد. حتی مهاجم می تواند بدون به جا گذاشتن
هیچ اثری که قابلیت ره گیری داشته باشد به اجرای کد PHP بپردازد.
یک فرد مهاجم میتواند از این آسیبپذیری برای دستیابی به حق دسترسی بالاتر یا اجرای کد PHP دلخواه سوء استفاده کند. همچنین گفته میشود که حملات نامشخص دیگری نیز با استفاده از این آسیبپذیری ممکن میشوند. در هنگام افشای این آسیبپذیری هیچ سوء استفادهای از آن شناسایی نشده است. چنین حملهای میتواند توسط یک کاربر ناشناس صورت پذیرد که این بدان معنی است که هیچ مهندسی اجتماعی یا کار دیگری برای آن مورد نیاز نیست.
گروه Drupal توصیه کرده است که سایتها آخرین نسخه این سیستم را نصب نمایند، ولی یک اصلاحیه نیز برای کسانی که ترجیح میدهند همچنان از نسخه فعلی خود استفاده کنند عرضه کرده است.
این آسیبپذیری در API انتزاعی پایگاه داده وجود دارد، که یکی از اهداف آن امن سازی درخواستهای پایگاه داده علیه چنین حملاتی است.
آسیبپذیری مذکور توسط یک شرکت آلمانی امنیت PHP به نام سکشن انیس کشف شده است که توسط یک مشتری ناشناس برای بررسی و ممیزی Drupal به کار گرفته شده بود.
این خطای امنیتی از اوایل سال ۲۰۱۱ کشف شده بود اما به صورت مخفی در چارچوب هسته ی این سامانه ی مدیریت محتوای محبوب تا به امروز باقی مانده است. دروپال برای رفع این آسیب پذیری وصله ای را ارائه کرده است و به همه ی کاربران توصیه کرده است وب گاه های خود را به نسخه ی ۷٫۳۲ ارتقاء دهند.
این نقص امنیتی با شناسه CVE-2014-3704 شناخته میشود.
توضیحات فنی
تمام درخواست های پایگاه داده در دروپال از طریق گزاره های آماده انجام می شود، در این گزاره ها برخی فضاهای خالی برای وارد کردن اطلاعات کاربر در نظر گرفته اند:
SELECT FROM {users} WHERE name IN (:name_0, :name_1)
در مثال بالا دو عبارت name_0 و name_1 فضاهای خالی این دستور هستند، با استفاده از این روش مهاجم نمی تواند درخواست SQL را از نو ایجاد و ارسال کند و درواقع باید الگوی درخواست از پایگاه داده را رعایت کند. دروپال برای اینکه دست کاربران را برای ایجاد درخواست های SQL کمی باز بگذارد، از سازوکار آرایه برای گسترش name به name_0 و name_1 استفاده کرده است. این سازوکار باید ورودی های آرایه را مدیریت کند که البته آسیب پذیری از همین جا شکل می گیرد. تابع به جای مقداری که باید برگرداند، مقادیر name_$key0 وname_$key1 را برمی گرداند که اگر مهاجم بتواند مقادیر key0 و key1 را کنترل کند، می تواند گزاره ی SQL را به صورت زیر تغییر دهد:
SELECT FROM {users} WHERE name IN (:name_test) OR name = ‘Admin’ — , :name_test)
که منجر به تزریق درخواست SQL می شود و مهاجم می تواند کنترل کامل وب گاه را در دست بگیرد. آسیب پذیری های دروپال با شناسه ی CVE-2014-3704 به صورت عمومی در حال استفاده است و عدم به روز رسانی وب گاه عواقب خطرناکی را به همراه دارد.