Drupal是今天新闻、博客等内容网站最流行的内容管理平台之一,和安全牛之前报道过的影响170万网站的wordpress插件漏洞一样,Drupal近日也爆出一个影响上百万网站的严重安全漏洞,更糟糕的是漏洞发布7小时内就遭受自动化攻击,这意味着大量Drupal网站都无法幸免。 昨天Drupal发出紧急通知:
根据Drupal的官方紧急安全通告,制造麻烦的SQL注入漏洞代号SA-CORE-2014-005, 危险等级为25/25最高级别安全漏洞。Drupal建议所有Drupal网站立刻升级到7.32版本,但有些闹心的是,这样对于已经被攻击的网站来说于 事无补,正如文章开头提到的,15日漏洞发布7小时内没有即使打补丁或者升级的网站都需要将数据回滚到15日之前的备份,这意味着大量没有及时打补丁的网 站15-30日之间更新的内容需要重新上传。 讽刺的是,该SQL注入漏洞恰恰存在于Drupal自己的SQL注入防护技术中:
根据W3Techs的统计,目前全球有1.9-5.1%的网站使用Drupal,其中65%安装了Drupal 7,按照全球约10亿网站计算,至少有120万网站面临Drupal漏洞攻击的威胁。
安全牛点评:随着攻击的自动化和智能化,漏洞发布到黑客攻击之间的升级补丁窗口期变得越来越短,Drupal的SQL注入漏洞7小时之内遭受大规模自动化攻击就为广大信息安全人士敲响了警钟,此前Shellshock漏洞的发布也导致了大量攻击事件的发生,这需要安全界反思目前“简单粗暴”的漏洞发布机制。 文章来自安全牛 |