برطرف شدن باگ sql injection در آپدیت جدید ۷٫۳۲ Drupal

آسیب‌پذیری مذکور توسط یک شرکت آلمانی امنیت PHP به نام سکشن انیس کشف شده است که توسط یک مشتری ناشناس برای بررسی و ممیزی Drupal به کار گرفته شده بود.

گروه امنیتی Drupal گزارش داده است که نسخه‌هایی از Drupal 7 تا پیش از ۷٫۳۲ در برابر یک نقص امنیتی تزریق SQL بسیار حیاتی آسیب‌پذیر هستند.

به گزارش تکنـــــــــــــــــازدانلود: دروپال سامانه ی مدیریت محتوای متن بازی است که میلیون ها وب گاه مهم با استفاده از آن ایجاد شده اند. این سامانه توسط یک جامعه ی بسیار فعالی از علاقه مندان توسعه داده و پشتیبانی می شود.
به گزارش پایگاه اخبار امنیتی فن آوری اطلاعات و ارتباطات، آخرین نسخه ی این سامانه که با نام دروپال ۷ شناخته می شود، در اغلب سایت های دروپالی مورد استفاده قرار گرفته است و به همین دلیل آسیب پذیری این سامانه، زنگ خطری برای بسیاری از وب گاه های دروپالی می باشد.
در حین بررسی کد این CMS، یک آسیب پذیری تزریق SQL در هسته ی دروپال کشف شده است که مهاجم می تواند با سوء استفاده از آن کنترل کامل وب گاه را با مجوزهای مدیر وب گاه به دست بگیرد. حتی مهاجم می تواند بدون به جا گذاشتن هیچ اثری که قابلیت ره گیری داشته باشد به اجرای کد PHP بپردازد.

 نسخه ۷٫۳۲ اکنون برای پوشش دادن این نقص امنیتی در دسترس قرار گرفته است و گروه Drupal به شکل جدی توصیه کرده است که مدیران Drupal 7 سایت‌های خود را فوراً به‌روز رسانی نمایند.

یک فرد مهاجم می‌تواند از این آسیب‌پذیری برای دستیابی به حق دسترسی بالاتر یا اجرای کد PHP دلخواه سوء استفاده کند. همچنین گفته می‌شود که حملات نامشخص دیگری نیز با استفاده از این آسیب‌پذیری ممکن می‌شوند. در هنگام افشای این آسیب‌پذیری هیچ سوء استفاده‌ای از آن شناسایی نشده است. چنین حمله‌ای می‌تواند توسط یک کاربر ناشناس صورت پذیرد که این بدان معنی است که هیچ مهندسی اجتماعی یا کار دیگری برای آن مورد نیاز نیست.

گروه Drupal توصیه کرده است که سایت‌ها آخرین نسخه این سیستم را نصب نمایند، ولی یک اصلاحیه نیز برای کسانی که ترجیح می‌دهند همچنان از نسخه فعلی خود استفاده کنند عرضه کرده است.

این آسیب‌پذیری در API انتزاعی پایگاه داده وجود دارد، که یکی از اهداف آن امن سازی درخواست‌های پایگاه داده علیه چنین حملاتی است.

آسیب‌پذیری مذکور توسط یک شرکت آلمانی امنیت PHP به نام سکشن انیس کشف شده است که توسط یک مشتری ناشناس برای بررسی و ممیزی Drupal به کار گرفته شده بود.

این خطای امنیتی از اوایل سال ۲۰۱۱ کشف شده بود اما به صورت مخفی در چارچوب هسته ی این سامانه ی مدیریت محتوای محبوب تا به امروز باقی مانده است. دروپال برای رفع این آسیب پذیری وصله ای را ارائه کرده است و به همه ی کاربران توصیه کرده است وب گاه های خود را به نسخه ی ۷٫۳۲ ارتقاء دهند.

این نقص امنیتی با شناسه CVE-2014-3704 شناخته می‌شود.

توضیحات فنی

تمام درخواست های پایگاه داده در دروپال از طریق گزاره های آماده انجام می شود، در این گزاره ها برخی فضاهای خالی برای وارد کردن اطلاعات کاربر در نظر گرفته اند:

SELECT FROM {users} WHERE name IN (:name_0, :name_1)

در مثال بالا دو عبارت name_0 و name_1 فضاهای خالی این دستور هستند، با استفاده از این روش مهاجم نمی تواند درخواست SQL را از نو ایجاد و ارسال کند و درواقع باید الگوی درخواست از پایگاه داده را رعایت کند. دروپال برای اینکه دست کاربران را برای ایجاد درخواست های SQL کمی باز بگذارد، از سازوکار آرایه برای گسترش name به name_0 و name_1 استفاده کرده است. این سازوکار باید ورودی های آرایه را مدیریت کند که البته آسیب پذیری از همین جا شکل می گیرد. تابع به جای مقداری که باید برگرداند، مقادیر name_$key0 وname_$key1 را برمی گرداند که اگر مهاجم بتواند مقادیر key0 و key1 را کنترل کند، می تواند گزاره ی SQL را به صورت زیر تغییر دهد:

SELECT FROM {users} WHERE name IN (:name_test) OR name = ‘Admin’ — , :name_test)

که منجر به تزریق درخواست SQL می شود و مهاجم می تواند کنترل کامل وب گاه را در دست بگیرد. آسیب پذیری های دروپال با شناسه ی CVE-2014-3704 به صورت عمومی در حال استفاده است و عدم به روز رسانی وب گاه عواقب خطرناکی را به همراه دارد.