V redakčním systému Drupal, v obou aktuálních řadách, byla nalezena sada bezpečnostních problémů. Záplatovat můžete klasicky aktualizací na nejnovější verzi. Bezpečnostní problémy jsou tentokrát hodnoceny jako kritické a středně kritické.Odmítnutí služby a škodlivá HTTP hlavička - jak Drupal 6, tak Drupal 7 v multisite instalaci automaticky detekují, který konfigurační soubor settings.php použít, podle hlavičky HTTP. Její zpracování bohužel není dostatečně ošetřeno a nekontroluje vložení škodlivého kódu.
Obejití přístupových práv - modul File v jádře Drupalu 7 sloužící pro přikládání souborů k obsahu, ke komentářům nebo třeba k uživatelským profilům nedostatečně kontroluje právo na zobrazení souboru v případě, že se připojuje již dříve nahraný soubor. Útočník tak teoreticky může získat přístup k privátním souborům. Musí ovšem mít nejprve přístup k nějaké editaci, kde lze se soubory pracovat.
Výše uvedeným problémem je postižen i modul FileField pro Drupal 6.
XSS - bezpečnostní chyba v Form API při sestavování výběrového pole umožňuje provést XSS. Jádra Drupalu 6 se to dotýká přímo, v Drupalu 7 se tak může stát v kombinaci s doplňkovými moduly. V šestce je to podmíněno tím, že by útočník měl oprávnění administrovat taxonomii.
XSS po druhé - textová políčka formulářů s AJAXem v Drupalu 7, například dokončovací pole pro zadávání tagů, a souborové pole také umožňují provést XSS, ovšem jen za málo pravděpodobných kombinací přístupových práv útočníka. Většinou v kombinaci s nějakými dalšími moduly.
Aktuální verzi jádra Drupalu, která problémy řeší, stahujte samozřejmě z drupal.org.
Zdroj: Drupal Security News
