Para Peneliti keamanan dari Perusahaan SectionEins telah mengumumkan hasil penemuan mereka tentang kerentanan SQL Injection pada CMS Drupal versi 7. yang membuat sejumlah situs situs yang menggunakan Drupal beresiko besar terkena peretasan.

Baca juga :

Kerentanan ini sendiri berawal dari pengembang Drupal yang memperkenalkan Abtraksi Database API di drupal versi 7. yang awalnya bertujuan untuk mencegah dari serangan SQL Injection yang berupa sanitasi SQL Queries.

Ironisnya dengan penggunaan API ini justru malah menimbulkan kerentanan yang lain dan berbahaya. menyebabkan kode Php di website menjadi sangat rentan dari serangan. jika saja ada seorang peretas yang berhasil mengeploitasi kerentanan ini, dipastikan si peretas dapat mengontrol penuh website tersebut.

Lalu bagaimana cara memperbaiki kerentanan tersebut ?
Dari pihak SectionEins sendiri tidak merilis POC dan hanya memberi sedikit nasihat kepada para pengguna website yang menggunakan Drupal Versi7.

Diketahui Kerentanan yang berada dalam funsi Expand/Arguments digunakan untuk memperluas array untuk mengatasi Query SQL dengan "IN"Operator.

Akibatnya Kerentanan tersebut dapat memperngaruhi Drupal Versi 7 kebawah. karenanya para pengguna Drupal Versi 7 diharapkan segera meng update dengan drupal versi terbaru.

Selain itu anda juga dapat sedikit memodifikasi "Include/Database.inc"untuk menambal kerentanan ini. dengan mengubah berikut ini.

Cari kode ini  foreach ($data as $i => $value) { 

Lalu ubah kodenya dengan kode ini  foreach (array_values($data) as $i => $value) { 

cari kode tersebut pada baris 739.




Kabar lainnya Sebuah Poc telah dirilis secara online tentang kerentanan ini yang memungkinkan seseorang siapa saja dapat mengubah password admin website yang rentan tersebut. 

Bahkan salah satu pengguna Reddit memposting hasil exploitasinya dengan menggunakan kerentanan ini. dengan menggunakan code phyton dia berhasil mengubah admin passwordnya. pengujiannya sendiri dilakukan menggunakan Drupal versi 7.21,7.31.




jadi apakah anda tertarik untuk meng-update Drupal sesegera mungkin ?  :p
 
Top