Corsi on-line

A.A.A. Aggiornate Drupal alla versione 7.32

Sarebbero circa 900 mila i Siti Web basati sul CMS Open Source Drupal che potrebbero essere coinvolti in un attacco basato sulla SQL injection eseguibile attraverso una vulnerabilità recentemente rilevata; non senza argomentazioni valide, Drupal è ritenuto da numerosi sviluppatori il più stabile ed affidabile Content Management System scritto in PHP attualmente in circolazione, non soltanto per la sua solida architettura ma anche per l’attenzione dedicata dal team del progetto alla bugfixing dei (non frequenti) rilasci.

Drupal

Al di là delle valutazioni personali, anche questa volta i coders dell’applicazione sembrerebbero essere riusciti ad intervenire tempestivamente mettendo a disposizione una nuova release di sicurezza, Drupal 7.32, che infatti non prevede l’introduzione di nuove funzionalità (esclude cioè i “non-security-related bug fixes” come riportato nel comunicato ufficiale dell’aggiornamento) ma risolve la falla resa pubblica attraverso il bollettino associato al CVE-2014-3704 e all’advisory DRUPAL-SA-CORE-2014-005, dove la vulnerabilità è stata classifica come ad elevato livello di criticità.

Per descrivere tale problematica possiamo ricordare che in Drupal 7 è inclusa un’API (Application Programming Interface) per l’astrazione delle basi di dati, quest’ultima è in pratica un’interfaccia introdotta per accertarsi che le richieste eseguite (queries) vengano “sanitizzate” e, sostanzialmente, per impedire il verificarsi di azioni malevole basate proprio sulla SQL injection; curiosamente, tale meccanismo avrebbe invece sortito l’inatteso effetto contrario aprendo le porte ad eventuali attacchi da parte di utenti malintenzionati.

Rilevata a livello di core ed exploitabile da anonimi tramite richieste appositamente confezionate, quindi senza la necessità di superare alcuna procedura di autenticazione, tale vulnerabilità potrebbe essere sfruttata per il raggiungimento di diversi scopi: nel caso specifico si andrebbe infatti dall’esecuzione arbitraria di codice PHP fino al pericolo di tentativi mirati alla privilege escalation, con conseguente controllo completo dell’applicazione. A ciò si aggiunga che per effettuare un attacco non dovrebbero essere necessarie competenze tecniche particolarmente avanzate.

A chi gestisce un sito Web basato su una versione di Drupal più datata rispetto alla 7.32 si consiglia quindi di effettuare quanto prima un aggiornamento, la falla coinvolgerebbe infatti tutte le release precedenti del ramo 7.x; se per un qualsiasi motivo non si potesse eseguire l’upgrade (magari a causa di un adattamento particolarmente articolato) è comunque disponibile un’apposita patch.

Per approfondimenti: SA-CORE-2014-005 – Drupal core – SQL injection

Post correlati
I più letti del mese
Tematiche