Dnes večer vyšly nové opravné verze pro redakční systém Drupal řady 6 a 7. Řeší středně kritickou bezpečnostní chybu s možným ukradením session a hrozbu nedostupnosti webu kvůli útoku.

Nová bezpečnostní oprava se týká Drupalu 6 a 7 v případě chyby, která dovoluje na webech používajících kombinaci http a https ukradnout náhodnou session jiného uživatele. Tím pádem se útočník může stát přihlášeným pod cizím účtem. Na webech, které běží výhradně na http nebo jen na https by se to stát teoreticky nemělo.

Oprava dále řeší možnost způsobení nedostupnosti webu při útoku zneužívajícím API pro hashování hesel v Drupalu 7 tím, že přetíží server.

Řešení je klasické - nainstalujte si aktuální verze Drupalu v podobě 7.34 nebo 6.34.

Více v SA-CORE-2014-006.