Aktualizace pro Drupal z 5. 2. 2014

6.2.2014 Drupal

V noci se objevily čtyři nové bezpečnostní aktualizace pro redakční systém Drupal. Jedna z nich je označena dokonce jako vysoce kritická. Aktualizace se týkají modulů Tagadelic, Services, Push Notifications a Modal Frame API.

Tagadelic jistě znáte jako modul vykreslující blok ve stylu „tag cloud“, tedy jednotlivé tagy s různou velikostí písma. Méně kritická chyba ve verzi pro Drupal 6 způsobuje, že modul nekontroluje oprávnění pro přístup k obsahu. Může teoreticky zobrazit tagy od zatím nepublikovaného obsahu. Řešením je instalace aktuální verze.

Services poskytují API pro přístup k Drupalu pomocí XML-RPC, REST nebo dalších protokolů. Vysoce kritická chyba způsobuje, že přihlášený uživatel si může přidělit jakoukoli další roli s vyššími oprávněními. Pro opravu instalujte novou verzi.

Push Notifications doručuje zprávy z webu na zařízení s iOS a Androidem. Nedostatečně zpracovává znaky v názvu souboru s certifikátem, což ve výsledku může útočníkovi dovolit poslat notifikace vašim uživatelům. Chyba je ale označena jako méně kritická. Pro opravu instalujte aktuální verzi modulu a v jeho nastavení nastavení klepněte na tlačítko Generate new certificate string. Poté přejmenujte svoje APNS certifikáty.

Modal Frame API vykresluje iframy uvnitř dialogů vyvolaných pluginem jQuery UI Dialog. Modul nedostatečně kontroluje vstup od uživatele. Je bez podpory, opravu této středně kritické chyby nemá a měli byste jej jej tedy případně zbavit.

Jan Polzer

Tvůrce webů specializující se na Drupal, WordPress a Symfony. Autor českých knih o Drupalu, Acquia Certified Developer a Site Builder.

- Můj web


TwitterFacebookLinkedInYouTube

Řekněte o článku přátelům:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin