- 编号:DRUPAL-SA-2008-072
- 项目:Storm 项目
- 版本:drupal5.x和 drupal6.x
- 日期:2008年12月03日
- 安全风险:中
- 攻击点:远程
- 漏洞:SQL注入
描述
Storm是drupal的一个项目管理应用模块, 全称为SpeedTech组织和资源管理器(SpeedTech Organization and Resource Manager).
不幸的是, Storm模块允许具有访问storm项目的用户,输入一些文本,但是这些文本没有经过过滤,就直接插入到了SQL语句中,恶意用户利用这一点,就可以进行SQL注入攻击了.
影响版本
- 对于Drupal 5.x,所有低于5.x-1.14的Storm
- 对于Drupal 6.x,所有低于6.x-1.18的Storm
Drupal核心不受影响。 If you do not use the contributed Talk module, there is nothing you need to do.如果你没有用到Storm模块的话,那么你就不用担心了.
解决方案
安装最新版本
可参看Storm项目页面
报告人
Jakub Suchy (meba)
联系方式
对于Drupal安全问题,你可以通过security at drupal.org (at替换为@)给我们发送email,或者通过http://drupal.org/contact在线联系我们。
原文作者: killes@www.drop.org ,发表日期: 2008年12月03日17:50
