DrupalのSQLインジェクションCVE-2014-3704(Drupageddon)について調べてみた

既に日本でも報道されているように、著名なCMSであるDrupalのバージョン7系にはSQLインジェクション脆弱性があります（通称 Drupageddon; CVE-2014-3704）。この脆弱性について調査した内容を報告します。 ログイン時のSQL文を調べてみる MySQLのクエリログを有効にして、Drupaのログイン時に呼び出されるSQL文を調べてみます。リクエストメッセージは以下となります（一部のヘッダを省略）。 POST /?q=node&destination=node HTTP/1.1 Host: xxxxxxx User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:32.0) Gecko/20100101 Firefox/32.0 Cookie: has_js=1; Drupal.toolbar.collapsed=0 Conn

[koyhoge]

PHPで書かれたそこそこ規模の大きいCMSの独自モジュールは黒魔術になりがちという実感がある。

[takc923]

便利なORMをセキュアに書くのって難しいんだな...

[todesking]

おっ

[rryu]

PHPは整数インデックスの配列と連想配列を区別できないからPHPの配列はすべて連想配列という意識で挑まないと罠にはまるなあ。

[s99e209]

テンプレ上でdb_queryに配列を渡す処理は書いてないサイトでもヤバイのかな。Views Exposed FormなどのDrupalコアレベルでこの機能が使われているとしたら速やかにアップデートするのが良さそうだけど。どうなんだろ。

[cvshin]

こんなパターンが起こりうるのか リクエスト値をバリデーションしないとかゼッタイダメ ＞＜ | 徳丸浩の日記: DrupalのSQLインジェクションCVE-2014-3704について調べてみた