Drupal 6 obsahuje středně kritickou chybu

28. 2. 2008, Jan Polzer

Netrvalo to příliš dlouho a objevil se první bezpečnostní problém u nejnovější řady redakčního systému Drupal. Jeho šestá verze obsahuje středně kritickou chybu, díky které může škodolibý uživatel vložit do nadpisů libovolný HTML kód a skriptovat tak obsah stránek. Jde tedy o ukázkový příklad problému Cross-site scripting, neboli XSS. Více informací o něm najdete třeba na Wikipedii.

Tagy:

Programování, tvorba webu

Drupal 6 obsahuje také chybu v checkPlain, která zajišťuje odstranění aktivních HTML značek z textu, resp. jejich nahrazení Escape sekvencemi. Vlivem této chyby je upraven pouze první výskyt řetězce, další jsou ponechány v původním stavu. To opět umožňuje útočníkovi vložit libovolný kód.

Oprava problému

Možnosti, jak popsané chyby odstranit, jsou dvě. Jelikož jde o chybu přímo v jádře Drupalu, měli byste jej aktualizovat na nejnovější verzi (pokud tedy již používáte Drupal 6). Pokud z nějakých důvodů nemůžete aktualizaci provést okamžitě, použijte alespoň připravený patch. Následující odkazy vedou na soubory z Drupal.org:

Další informace o Drupalu 6 najdete zde na Maxiorlovi nebo na Drupal.org.

Live Translator – ukázka překladače textů zdarmaGoogle Talk pro rychlou komunikaci s vašimi návštěvníky

Líbí se vám článek? Dejte mu hlas:

Aktuálně z IT

Stahujte nový prohlížeč Chrome 6

3. 9. 2010

Google včera u příležitosti druhých narozenin svého webového prohlížeče vydal již šestou verzi prohlížeče Chrome. Číst dále

Vývoj Windows Phone 7 je téměř dokončen

2. 9. 2010

Microsoft včera oznámil, že jeho nová platforma Windows Phone 7 se dostala do finálního stádia vývoje. Číst dále

Nové Embarcadero RAD Studio XE je na světě

1. 9. 2010

Nová generace oblíbených vývojářských nástrojů firmy Embarcadero (dříve od Borlandu) je na světě, včetně podpory pro PHP aplikace. Číst dále

další

Reklama

Poslední komentáře

Re: Vyšel Drupal 6.19 (5.23) a řada dalších oprav
1 sek zpět
Re: CSS 3.0 Maker: naklikejte si styly kompatibilní s CSS 3.0
3 hodiny 35 min zpět
Re: Desetkrát „Co když chci“ v Drupalu
7 hodin 53 min zpět
Re: Desetkrát „Co když chci“ v Drupalu
7 hodin 55 min zpět
Re: Předchozí a další
21 hodin 21 min zpět
Re: Image problém s oprávněním
1 den 22 hodin zpět
Re: Image problém s oprávněním
2 dny 1 hodina zpět
Re: Image problém s oprávněním
2 dny 1 hodina zpět
Re: Image problém s oprávněním
2 dny 2 hodiny zpět
Re: Jak na vlastní písmo na webu s @font-face
2 dny 5 hodin zpět

Nová témata

další

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 2 GB prostoru a automatické navyšováním o 500 MB každý rok. Podrobnosti zde.

Oblíbený obsah

Dnes:

Za celé období:

Tagy

další tagy

software/ weby/ programování