Instalujte Drupal 6.32 a 7.29 s bezpečnostní opravou

17.7.2014 Drupal

V redakčním systému Drupal, v obou aktuálních řadách, byla nalezena sada bezpečnostních problémů. Záplatovat můžete klasicky aktualizací na nejnovější verzi. Bezpečnostní problémy jsou tentokrát hodnoceny jako kritické a středně kritické.Odmítnutí služby a škodlivá HTTP hlavička – jak Drupal 6, tak Drupal 7 v multisite instalaci automaticky detekují, který konfigurační soubor settings.php použít, podle hlavičky HTTP. Její zpracování bohužel není dostatečně ošetřeno a nekontroluje vložení škodlivého kódu.

Obejití přístupových práv – modul File v jádře Drupalu 7 sloužící pro přikládání souborů k obsahu, ke komentářům nebo třeba k uživatelským profilům nedostatečně kontroluje právo na zobrazení souboru v případě, že se připojuje již dříve nahraný soubor. Útočník tak teoreticky může získat přístup k privátním souborům. Musí ovšem mít nejprve přístup k nějaké editaci, kde lze se soubory pracovat.

Výše uvedeným problémem je postižen i modul FileField pro Drupal 6.

XSS – bezpečnostní chyba v Form API při sestavování výběrového pole umožňuje provést XSS. Jádra Drupalu 6 se to dotýká přímo, v Drupalu 7 se tak může stát v kombinaci s doplňkovými moduly. V šestce je to podmíněno tím, že by útočník měl oprávnění administrovat taxonomii.

XSS po druhé – textová políčka formulářů s AJAXem v Drupalu 7, například dokončovací pole pro zadávání tagů, a souborové pole také umožňují provést XSS, ovšem jen za málo pravděpodobných kombinací přístupových práv útočníka. Většinou v kombinaci s nějakými dalšími moduly.

Aktuální verzi jádra Drupalu, která problémy řeší, stahujte samozřejmě z drupal.org.

Zdroj: Drupal Security News

Jan Polzer

Tvůrce webů specializující se na Drupal, WordPress a Symfony. Autor českých knih o Drupalu, Acquia Certified Developer a Site Builder.

- Můj web


TwitterFacebookLinkedInYouTube

Řekněte o článku přátelům:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin