4 bezpečnostní aktualizace pro Drupal z 14. 5. 2014

15.5.2014 Drupal

Pro moduly redakčního systému Drupal včera vyšla čtveřice nových aktualizací řešících bezpečnostní problémy. Tyto jednotlivé aktualizace jsou označeny jako kritické nebo středně kritické.

Modul Commerce Postfinance ePayment, poskytující platební rozhraní do eshopového Drupal Commerce, trpěl kritickou chybou, kdy nedostatečně validoval příchozí potvrzení o zaplacení. Upraveným hlášením by se tak hacker mohl dostat k manipulaci s objednávkou.

Realname registration je modul, který vytváří uživatelské jméno pro přihlašování na základě jiných údajů vložených při registraci, například jména a příjmení. Modul nedostatečně omezoval přístup ke svému nastavení, konkrétně využíval jen oprávnění access administration pages. Hacker by tak mohl být (ve většině případů) maximálně admin webu nebo někdo s tímto oprávněním. Chyba byla označena jako středně kritická.

V modulu Addressfield Tokens byla objevena středně kritická chyba, kdy modul nedostatečně kontroluje obsah adresního políčka. To může vést k XSS. Útočník by ale musel mít roli s oprávněním vyvářet nebo měnit adresy, respektive uzly, ke kterým je adresní pole přidáno.

Field API Tab Editor, modul, který umožňuje, aby každé políčko v entitě bylo editovatelné na samostatné stránce dostupné přes záložky, vracel nesprávnou hodnotu do volání hook_menu(), pokud uživatel neměl oprávnění pro úpravu entity. To mohlo způsobit, že i přes své chybějící oprávnění by mohl obsahy polí editovat. Chyba byla označena jako kritická.

Ve všech případech je doporučeným řešením aktualizace modulů na aktuální verzi.

Jan Polzer

Tvůrce webů specializující se na Drupal, WordPress a Symfony. Autor českých knih o Drupalu, Acquia Certified Developer a Site Builder.

- Můj web


TwitterFacebookLinkedInYouTube

Řekněte o článku přátelům:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin