web-dev-qa-db-ja.com

CiviCRMデータはDrupageddonバグに対して脆弱ですか?

Drupal 7.32?

CiviCRMは別のMySQLデータベースにあります。ただし、サイトはビュー/ CiviCRM統合を使用しているため、CiviCRMデータベースのすべてのテーブルはDrupalのsettings.phpファイルにリストされています。

4
Shai

おそらく、おそらくこれは当てはまるでしょう。特に、civicrm dbをdrupal設定ファイルに追加したり、同じdrupal = db。

これの主な理由は、drupalのdbアクセスレイヤー(およびコード)がdrupal dbと同じ方法でcivi dbにアクセスできるため、そのコードのエクスプロイトをcivi dbに対して使用できることです。

ロボ

7
Donald Lobo

潜在的な攻撃者がデータベースにアクセスし、 evil phpモジュールを介してコードを実行する可能性があるため、同じサーバー上のすべてのものが侵害されていると見なす必要があります。

8
Letharion

Letharionの答えをさらに詳しく説明すると、エクスプロイトの性質上、サーバー上のファイルは脆弱でした。 「任意PHP実行」とは、サーバーレベルのアクセスが可能であることを意味します。 https://www.drupal.org/SA-CORE-2014-005 With PHP実行すると、悪意のあるファイルのアップロードを許可するバックドアを持つことができます。DrupalセキュリティチームPSA https://www.drupal.org/PSA- 2014-0 、完全にクリーンなサーバーで起動することを検討する必要があります。

4
ben.hamelin