Drupal 7.32 发布,修复 SQL 注入漏洞

oschina
 oschina
发布于 2014年10月16日
收藏 8

Drupal 发布了 7.32 补丁版本,该版本修复了一个 SQL 注入的漏洞 SA-CORE-2014-005 (CVE-2014-3704),该漏洞可被匿名用户利用。建议 Drupal 尽快升级。

Drupal 7 包含的一个数据库抽象 API 来确保执行的查询中对 SQL 注入的攻击进行处理。

可直接使用如下补丁来修复这个漏洞:
https://www.drupal.org/files/issues/SA-CORE-2014-005-D7.patch

Drupal 7.32 完整包下载:
https://www.drupal.org/drupal-7.32-release-notes

请立即升级!

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://www.oschina.net]
本文标题:Drupal 7.32 发布,修复 SQL 注入漏洞
加载中

最新评论(5

静风流云
静风流云
额,弱弱的问一句,为什么不用Prepared statements。
卖爷爷的老红薯
卖爷爷的老红薯
国外的CMS不敢用了,蛋疼无比!
任远
任远
漏洞无处不在呀,不知多少使用者处于危险之中。
sniperBlank
sniperBlank
修改了一句。

diff --git a/includes/database/database.inc b/includes/database/database.inc
index f78098b..01b6385 100644
--- a/includes/database/database.inc
+++ b/includes/database/database.inc
@@ -736,7 +736,7 @@ abstract class DatabaseConnection extends PDO {
// to expand it out into a comma-delimited set of placeholders.
foreach (array_filter($args, 'is_array') as $key => $data) {
$new_keys = array();
- foreach ($data as $i => $value) {
+ foreach (array_values($data) as $i => $value) {
// This assumes that there are no other placeholders that use the same
// name. For example, if the array placeholder is defined as :example
// and there is already an :example_2 placeholder, this will generate
zouqilin
zouqilin
linus不是休假去了么
返回顶部
顶部