Další várka záplat pro drupalovské moduly

Nedávno vydanou udržovací verzi redakčního systému Drupal, která opravovala jen tři drobné chybky a vlastně nepřinášela nic nového (viz Nezapomněli jste na Drupal 5.7?), následují po dnešní noci doplňkové moduly. Bylo totiž vydáno hned šest oprav méně i vysoce kritických chyb. 

Reklama

Vzhledem k tomu, že nejde o žádný problém jádra, není potřeba to vnímat až tak dramaticky. Záleží samozřejmě na tom, jestli dané moduly na svém webu používáte nebo nikoli. Zde je tedy přehled postižených modulů, jejich chyb a seznam odkazů na stránky, odkud můžete stahovat opravy. 

Ještě před půlnocí byla oznámena středně kritická chyba v modulu Secure Site. Útočník sedící za stejným proxy serverem jako přihlášený uživatel může získat jeho přístup k webu. Další středně kritickou chybu najdete v modulu Project issue tracking. Ta spočívá v nechvalně známém XSS, které moduly Drupalu často trápí. Stejný modul obsahuje také vysoce kritickou chybu umožňující nahrávat soubory se zákeřným obsahem a následně spouštět kód. 

V modulu Userpoint najdete problém se špatným využitím Drupal Form API, který může vést k Cross site request forgery. Chyba nicméně není označena jako kritická. Naopak vysoce kritický problém najdete v modulu Comment upload. I ten umožňuje za určitých okolností dostat do systému nebezpečné soubory a následně spouštět jejich kód. Zatím poslední oznámení se týká modulu OpenID a je označeno jako méně kritické. Chyba dává prostor pro vytvoření podvodného přihlašovacího serveru, který se může tvářit jako autorizační systém pro jinou doménu.

Opravy modulů pro Drupal 

Stahujte opravené moduly, které odpovídají použité verzi Drupalu na vašem webu, případně souhlasí s dosud použitou vývojovou řadou modulu, který používáte. Odkazy vedou na webové stránky jednotlivých modulů.

 

Reklama

Komentáře

Nezapomeň taky na Drupal 6.0 RC3, stabilní verze se rychle blíží!

Jo, dík za připomenutí. Už jsem to dal do bleskovek. Mimochodem, zatím můžete v anketě tipovat, zda se dřív objeví má kniha o Drupalu (asi dva až tři týdny do prodeje) nebo Drupal šestka ;-)

Jan Polzer, Maxiorel.cz, Archiv Screenshotů

Tvořím weby. Nabízím poradenství pro Drupal. Jsem na Twitteru.

Promiň, ale radši bych Drupal 6 :D

Uvidíme :-)

Tvořím weby. Nabízím poradenství pro Drupal. Jsem na Twitteru.

Drive bude Drupal 6 :-)

Tak už vyšel Drupal 6 final, jsem překvapený, že o tom Honza ještě nepíše :)

Ale už píšu… Akorát mi přestal po včerejších aktualizacích fungovat internet (a vůbec celá síť) na notebooku, se kterým normálně pracuju.

Tvořím weby. Nabízím poradenství pro Drupal. Jsem na Twitteru.

Přidat komentář