Drupal vraagt gebruikers van Drupal 7 zo snel mogelijk naar versie 7.32 te gaan, wegens een ‘kritieke’ SQL Injection zwakheid die reeds door automatische aanvallen wordt misbruikt.
In een ‘Public Service Announcement‘(PSA) vraagt de Drupal organisatie aan Drupal 7 gebruikers zo snel mogelijk een upgrade door te voeren naar Drupal 7.32. In een eerdere waarschuwing wordt gesteld dat een SQL-injection zwakte in een ‘database abstraction api’ het malafide gebruikers mogelijk maakt eigen SQL commando’s uit te voeren, wat tot verdere aanvallen kan leiden. De Drupal organisatie onderstreept dat van de zwakte al gebruik wordt gemaakt door automatische aanvallen.
Meer dan alleen een patch
Drupal wijst erop dat het installeren van de patch op zichzelf niet voldoende is. Deze patch “herstelt niet een site die al gecompromitteerd is,” en “een aanval kan allicht geen sporen hebben nagelaten.” In de PSA wordt vervolgens uitgelegd welke stappen moeten worden ondernomen, te starten met het herzetten van de site (aan de hand van back-ups) naar een toestand van voor 15 oktober ll.
In een ‘frequently asked questions’ lijst geeft Drupal voorts nog bijkomende informatie over de oorspronkelijke waarschuwing, en de security van Drupal in het algemeen. In deze FAQ wordt tevens gesteld dat Drupal versies 6.x niet onder deze SQL-injection zwakte lijden.
