Drupal是今天新聞、博客等內(nèi)容網(wǎng)站最流行的內(nèi)容管理平臺之一，和安全牛之前報(bào)道過的影響170萬網(wǎng)站的wordpress插件漏洞一樣，Drupal近日也爆出一個影響上百萬網(wǎng)站的嚴(yán)重安全漏洞，更糟糕的是漏洞發(fā)布7小時內(nèi)就遭受自動化攻擊，這意味著大量Drupal網(wǎng)站都無法幸免。

昨天Drupal發(fā)出緊急通知：

10月15日一個Drupal平臺的SQL注入漏洞在公布7小時內(nèi)遭受黑客大規(guī)模自動化攻擊，所有在該漏洞發(fā)布7小時內(nèi)沒有及時更新補(bǔ)丁或升級到Drupal 7.32版本的用戶都可能已經(jīng)遭受攻擊。

根據(jù)Drupal的官方緊急安全通告，制造麻煩的SQL注入漏洞代號SA-CORE-2014-005,危險等級為25/25最高級別安全漏洞。Drupal建議所有Drupal網(wǎng)站立刻升級到7.32版本，但有些鬧心的是，這樣對于已經(jīng)被攻擊的網(wǎng)站來說于事無補(bǔ)，正如文章開頭提到的，15日漏洞發(fā)布7小時內(nèi)沒有即使打補(bǔ)丁或者升級的網(wǎng)站都需要將數(shù)據(jù)回滾到15日之前的備份，這意味著大量沒有及時打補(bǔ)丁的網(wǎng)站15-30日之間更新的內(nèi)容需要重新上傳。

諷刺的是，該SQL注入漏洞恰恰存在于Drupal自己的SQL注入防護(hù)技術(shù)中：

Drupal 7提供了一個數(shù)據(jù)庫抽象API來過濾數(shù)據(jù)庫查詢執(zhí)行指令，防止SQL注入攻擊。

但這個API的一個漏洞允許攻擊者發(fā)送特定請求獲得數(shù)據(jù)庫的控制權(quán)限，例如篡改或刪除內(nèi)容，傳播惡意軟件，發(fā)起“水源地攻擊”等。

根據(jù)W3Techs的統(tǒng)計(jì)，目前全球有1.9-5.1%的網(wǎng)站使用Drupal，其中65%安裝了Drupal 7，按照全球約10億網(wǎng)站計(jì)算，至少有120萬網(wǎng)站面臨Drupal漏洞攻擊的威脅。