Hålet heter formellt SA-CORE-2014-005, men kallas Drupageddon.
Säkerhetshålet utnyttjar en liten bug i database.inc som öppnar upp möjligheten för en SQL-injection. I förlängningen betyder det att t.ex. lösenord för adminanvändaren går att ändra.
Patchen för att komma till rätta med problemet i database.inc ser inte mycket ut för världen men gör stor skillnad:
- foreach ($data as $i => $value) {
+ foreach (array_values($data) as $i => $value)
Om du vill läsa mer hur hålet kan nyttjas så har Tamer Zoubi skrivit ett intressant blogginlägg om hur han utnyttjar bristen. Pantheon har också skrivit en rapport som är läsvärd. Det finns redan en färdig modul för Metasploit som nu används av botnät för fullt.
Eftersom hålet är så enkelt att utnyttja är det verkligen hög tid att uppgradera Drupal eller åtminstone patcha database.inc. Jag tror du kan räkna med att din Drupalsajt kör mining av Bitcoin inom en vecka om du inte patchar.
Vi har redan sett ett gäng hackade sidor och vi kommer som vanlig tjata på er som ligger efter med uppdateringar!