Actualización Drupal 7.31 a 7.32

Hace cosa de 15 días (bug y versión reportadas el 15 de octubre) sacaron una versión nueva de Drupal que solucionaba un bug (grave). Bueno, una mas … pero resulta que esta mañana he leído un correo de la lista que me ha dejado «acojonado».

El bug en cuestión es SA-CORE-2014-005.

Drupal 7 includes a database abstraction API to ensure that queries executed against the database are sanitized to prevent SQL injection attacks.

A vulnerability in this API allows an attacker to send specially crafted requests resulting in arbitrary SQL execution. Depending on the content of the requests this can lead to privilege escalation, arbitrary PHP execution, or other attacks.

This vulnerability can be exploited by anonymous users.

Update: Multiple exploits have been reported in the wild following the release of this security advisory, and Drupal 7 sites which did not update soon after the advisory was released may be compromised. See this follow-up announcement for more information: https://www.drupal.org/PSA-2014-003

Vale, algo catalogado como altamente critico … a lo mejor tenia que haberle hecho un poco mas de caso…

El caso es que el correo daba este enlace … http://www.bbc.com/news/technology-29846539

«Up to 12 million websites may have been compromised by attackers who took advantage of a bug in the widely used Drupal software.

The sites use Drupal to manage web content and images, text and video.

Drupal has issued a security warning saying users who did not apply a patch for a recently discovered bug should «assume» they have been hacked.»

Eso si ha captado mi atención… así que … parcheado de emergencia.

Lo bueno es que el parche se aplica sin problemas y lo malo es que ahora tengo que ponerme a revisar logs a ver si hay algún acceso «raro».

Nota mental, la próxima vez que recibas una notificación de fallo … leerla despacio y hacer caso… que luego pasa lo que pasa.