Stahujte Drupal 6.37 a 7.39

20.8.2015 SvětCMS.cz Drupal

V jádře Drupalu byla nalezena řada zranitelností a je proto vhodné, abyste opět aktualizovali na nejnovější verzi. Problémy zahrnují XSS, SQL injektáž, získání přístupu a další.

Zranitelnost XSS bezpečnostní tým objevil ve zpracování AJAXu u prvků formulářů. Drupalu 6 se problém netýká, trpí jím pouze Drupal 7. Nicméně u šestky pozor na podobný problém ve spojení s modulem Chaos Tool Suite, viz dále.

Problém XSS trápí také autocomplete políčka s doplňováním psaného textu. Nemají úplně nejlépe ošetřeno volání adresy, která poskytuje data pro doplnění.

V Drupalu 7 byla zjištěna možnost SQL injektáže v systému filtrů pro komentáře. Provést ji může pouze uživatel s vyššími oprávněními.

CSRF trápí Drupal 6 i 7, konkrétně ve Form API umožňujícím nahrát soubor a zavolat zpracování na neověřeném vstupu. Ve výsledku může uživatel nahrát soubory pod jiným, než svým účtem.

A konečně obě řady Drupalu trpí také tím, že uživatelé bez oprávnění zobrazit obsah mohou vidět nadpisy uzlů, ke kterým nemají přístup. Tedy v případě, že jsou tyto uzly zařazeny do menu, které tito uživatelé vidí.

Pro podrobnosti a info, za jakých okolností jsou tyto útoky a zranitelnosti podmíněny a zmírněny, koukněte na SA-CORE-2015-003.

Aktualizujte také moduly pro Drupal

Přes noc se objevily také aktualizace některých doplňkových modulů, které řeší zranitelnosti:

Jan Polzer

Acquia Certified Developer pro Drupal. Tvořím weby a poskytuji poradensví k Drupalu, WordPressu, GetSimple a webovým technologiím obecně. Provozuji také několik webů o cestování a IT.

- Můj web


TwitterLinkedInGoogle PlusStumbleUponYouTube

Řekněte o článku přátelům:Share on Facebook
Facebook
Tweet about this on Twitter
Twitter
Share on LinkedIn
Linkedin