10月15日に公表されたSQLインジェクション脆弱性の件

2014/10/15に出たSA-CORE-2014-005 の件。追加のアナウンスとして、PSA-2014-003 が出ています。

7.32にアップデートしたから安心と思いきや、既にバックドアを作られていたという事例がたくさんあるということで、「10月15日午後2時（日本時間）以降にアップデートしたやつは、バックドアを作られてるかもしれん」「対処方法は、バックアップから10月15日午後2時より前の状態に戻すこと」と警告しています。

日本ではDrupalのシェアが低いせいかたいして話題になっていませんが、実のところ私の知っている会社のサイトがバックドアを作られていたようです。公表された翌々日にアップデートしたようですが、見事複数サイトにバックドアが作られていたようです。 これは早めにバックドアの痕跡が見つかってラッキーだったという例でもあります。おそらくはピンポンダッシュ的なイタズラだったのでしょう。本気であれば、痕跡を残したまま放置するはずはありません。

とにかく、10月15日午後2時（日本時間）より前にアップデートしていなかったDrupalは、一旦捨てるべきだと思います。それより前のバックアップから（DBもファイルも）立ち上げ直し、以降の更新内容についてはコピペするのが確実でしょう。