Programování, tvorba webu

Další bezpečnostní oznámení, které poslal Drupal Security Team, se týká zranitelnosti v podobě SQL injektáže a XSS v modulu Easylinks. Zmíněné chyby může útočník zneužít díky nedostatečnému ošetření vstupu a výstupu.

E-commerce je povedený modul pro publikační systém Drupal. S tímto modulem máte možnost vytvořit z drupalovského webu elektronický obchod se vším všudy. Dnes byla oznámena XSS zranitelnost v tomto modulu, která byla označena jako méně kritická. Provést ji mohou uživatelé s oprávněním pro vkládání nových produktů do prodeje.

Stahovat můžete novou verzi grafické nadstavby pro kompresor UPX. Maxiorel GUI4UPX 2.1 řeší problém se zpracováním některých souborů obsahujících v názvu nebo v cestě mezeru. Funkce pro vytváření dávkových souborů BAT nebyla touto chybou ovlivněna.

Používáte drupalovský modul pro filtrování klíčových slov z odkazovačů, které vedou na vaše stránky? Modul Search Keywords je výborným doplňkem k základní statistice nabízené v rámci jádra publikačního systému Drupal. Zobrazí vám tabulku s daty návštěv, použitými vyhledávači a hledanými řetězci.

Včerejší zpráva o opravě modulu Recipe pro Drupal řady 4.6 byla zřejmě vydána poněkud předčasně, protože dnešní oznámení DRUPAL-SA-2006-014 sděluje, že po vydání opravného balíčku byla chyba opět nalezena. Aktualizovaná verze modulu Recipe pro řadu 4.6 by celou záležitost již měla vyřešit. Moduly s hlavičkou starší než // $Id: recipe.module,v 1.39.2.3 2006/08/08 21:38:40 heine Exp $ tedy neváhejte aktualizovat.

Netrvalo dlouho a po vydání Drupalu 4.7.3 řešícího XSS zranitelnost v modulu user je tu další várka opravených modulů. Ty tentokrát nejsou součástí drupalovského jádra, takže nemusíte aktualizovat celý systém, pokud uvedené moduly nepoužíváte.

Včera, tedy 2. srpna 2006, byly vydány další opravné verze redakčního systému Drupal. Jak se můžete dočíst na hlavním webu Drupalu (www.drupal.org), jde o opravy týkající se několika problémů nahlášených zachytávačem bugů a o opravu jedné bezpečnostní chyby.

Pracujete ve vývojářském nástroji Microsoft Visual Studio 2005? Pak by vás mohl zajímat nový druh písma, který Microsoft vytvořil. Nový font byl nazván Consolas a měl by přinést lepší čitelnost kódu v editoru. Je optimalizován pro technologii ClearType, takže pokud jej chcete používat, měli byste mít zapnuto vyhlazování hran písem.

Nejnovější bezpečnostní oznámení o zranitelnosti webů postavených na systému Drupal se týká XSS problému v modulu webform. Útočník může vložit a spustit XSS díky nedostatečné kontrole na výstupu. Postiženy jsou všechny verze Drupalu řady 4.6 a 4.7, které byly vydány před 8. červencem 2006.

Pokud pracujete s flashovými animacemi, jistě jste zaznamenali uvolnění deváté verze Flash Playeru, který nyní patří společnosti Adobe. Uživatelé programu SWiSH Max, mezi které patřím také, mohou v této souvislosti narazit na problém s vykreslováním SWF souborů. Ať už jste na problém narazili nebo ne, doporučuje se provést aktualizaci programu SWiSH Max.

Pokud se zajímáte o novinky v kancelářském balíku MS Office 2007, případně jste si již nainstalovali jeho druhou betaverzi (např. z DVD Computeru 13-14/06), jistě jste postřehli, že na své blogy můžete vkládat příspěvky přímo z Wordu. S trochou snahy to jde i na weby provozované na systému Drupal.

Tak nějak bez většího zájmu zpravodajských serverů (alespoň jsem si nevšiml) proběhlo v druhé půlce června uvolnění pre-release verze třetí generace rozhraní .NET Framework. To je dalším krokem k uživatelsky přívětivým aplikacím a jednodušší práci programátorů (berte s rezervou). Pokud slyšíte o .NET Framework 3.0 poprvé, pak vězte, že nejde o nic jiného, než přejmenované WinFX Runtime Components, o kterých bylo v souvislosti s Windows Vista napsáno již hodně textu.

Další aktualizace pro CMS systém Drupal vyšla v tomto týdnu. Opět jde o řešení bezpečnostních problémů. Oprava konkrétně řeší zneužitelnost uploadu a méně nebezpečný problém umožňující vložit a spustit XSS do poznámek tagů.

Pro webový systém Drupal byly vydány opravné verze řešící kritické problémy s bezpečnostní. Postižená je řada 4.6 i nová 4.7. Opravy řeší především problém s SQL injektáží.

Jak jsem tu nedávno informoval, v soutěži vyhlášené výrobcem programu SWiSH Max jste mohli vyhrát zajímavé (možná jak pro koho) peníze. Vítězové jsou v tuto chvíli již známi.