Další várka záplat pro drupalovské moduly

Nedávno vydanou udržovací verzi redakčního systému Drupal, která opravovala jen tři drobné chybky a vlastně nepřinášela nic nového (viz Nezapomněli jste na Drupal 5.7?), následují po dnešní noci doplňkové moduly. Bylo totiž vydáno hned šest oprav méně i vysoce kritických chyb. 
reklama

Vzhledem k tomu, že nejde o žádný problém jádra, není potřeba to vnímat až tak dramaticky. Záleží samozřejmě na tom, jestli dané moduly na svém webu používáte nebo nikoli. Zde je tedy přehled postižených modulů, jejich chyb a seznam odkazů na stránky, odkud můžete stahovat opravy. 

Ještě před půlnocí byla oznámena středně kritická chyba v modulu Secure Site. Útočník sedící za stejným proxy serverem jako přihlášený uživatel může získat jeho přístup k webu. Další středně kritickou chybu najdete v modulu Project issue tracking. Ta spočívá v nechvalně známém XSS, které moduly Drupalu často trápí. Stejný modul obsahuje také vysoce kritickou chybu umožňující nahrávat soubory se zákeřným obsahem a následně spouštět kód. 

V modulu Userpoint najdete problém se špatným využitím Drupal Form API, který může vést k Cross site request forgery. Chyba nicméně není označena jako kritická. Naopak vysoce kritický problém najdete v modulu Comment upload. I ten umožňuje za určitých okolností dostat do systému nebezpečné soubory a následně spouštět jejich kód. Zatím poslední oznámení se týká modulu OpenID a je označeno jako méně kritické. Chyba dává prostor pro vytvoření podvodného přihlašovacího serveru, který se může tvářit jako autorizační systém pro jinou doménu.

Opravy modulů pro Drupal 

Stahujte opravené moduly, které odpovídají použité verzi Drupalu na vašem webu, případně souhlasí s dosud použitou vývojovou řadou modulu, který používáte. Odkazy vedou na webové stránky jednotlivých modulů.

 

Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer a Site Builder a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.

reklama

Komentáře k článku

návštěvník

Nezapomeň taky na Drupal 6.0 RC3, stabilní verze se rychle blíží!

Profile picture for user Jan Polzer

Jo, dík za připomenutí. Už jsem to dal do bleskovek. Mimochodem, zatím můžete v anketě tipovat, zda se dřív objeví má kniha o Drupalu (asi dva až tři týdny do prodeje) nebo Drupal šestka ;-)

Jan Polzer, Maxiorel.cz, Archiv Screenshotů

návštěvník

Promiň, ale radši bych Drupal 6 :D

návštěvník

Drive bude Drupal 6 :-)

návštěvník

Tak už vyšel Drupal 6 final, jsem překvapený, že o tom Honza ještě nepíše :)

Profile picture for user Jan Polzer

Ale už píšu... Akorát mi přestal po včerejších aktualizacích fungovat internet (a vůbec celá síť) na notebooku, se kterým normálně pracuju.

Přidat komentář

Filtered HTML

  • Povolené HTML značky: <a href hreflang> <em> <strong> <cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <p> <br>
  • Řádky a odstavce se zalomí automaticky.
  • Web page addresses and email addresses turn into links automatically.

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
reklama
reklama
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

Knihy o Drupalu

Kniha Drupal 8 Kniha Drupal 7 333 tipů a triků pro Drupal
Více na KnihyPolzer.cz

@maxiorel na Twitteru

Maxiorel na Twitteru