Drupal: Sicherheitslücke in 7.x

Gestern durch Zufall durch Hören eines Podcastes auf TheRadio.cc erfahren:

In Drupal 7.x gibt es seit Mitte Oktober eine Sicherheitslücke. Ich habe diese bei meiner eigenen Drupal-Instanz soeben geschlossen.

Die Sicherheitslücke ermöglichte SQL-Injections. Der "Vorteil" bzw mein persönliches Glück im Unglück war, dass zumindest die automatisierten Angriffe ihre Spur insofern hinterlassen, als dass sie diese Lücke nach ihrem Angriff selber schliessen. Heisst wäre diese Lücke bereits "wie von selbst" geschlossen gewesen, hätte ich mir weitere Gedanken machen müssen - auch wenn es auf meiner Drupal-Installation nur einen Account gibt, und das ist mein Eigener.

Wie schliesst man diese Lücke? Der auf drupal.org präsentierte Patch nimmt nur eine Änderung vor. Wer also keinen Server hat, und wie im Fall meines Hosters nicht mal fsockopen() freigeschaltet hat ( was bedeutet, dass für Drupal keine automatischen Updates vorgenommen werden ), UND noch dazu keine Shell-Commands per PHP ausführen kann ( hat mein Hoster aus verständlichen Sicherheitsgründen deaktiviert ), muss das manuell über diese eine betroffene Datei per FTP bewerkstelligen.

Sucht in eurer Drupal-Installation diese Datei:

[drupal]/includes/database/database.inc

In dieser Datei sucht ihr diese Zeile :

foreach ($data as $i => $value) {


Die ersetzt ihr durch :

foreach (array_values($data) as $i => $value) {

Das wars schon ;)

Wer Patchfiles lesen kann ( was nicht sonderlich schwer ist ), kann hier das entsprechende Patchfile von drupal.org nochmal selber einsehen.

Das hat für euch den Vorteil, dass ihr euch im richtigen Kontext bewegt ( die Zeilen vor und nach der betreffenden Codezeile werden nochmal dargestellt ), und hat zudem noch den Vorteil, sichergehen zu können, dass ich euch nicht dazu verleite, unter falschem Vorwand Sicherheitslöcher in eure Drupal-Installation zu reissen ( Hoaxing ).