Drupal 6 obsahuje středně kritickou chybu
Netrvalo to příliš dlouho a objevil se první bezpečnostní problém u nejnovější řady redakčního systému Drupal. Jeho šestá verze obsahuje středně kritickou chybu, díky které může škodolibý uživatel vložit do nadpisů libovolný HTML kód a skriptovat tak obsah stránek. Jde tedy o ukázkový příklad problému Cross-site scripting, neboli XSS. Více informací o něm najdete třeba na Wikipedii.
Reklama
Drupal 6 obsahuje také chybu v checkPlain, která zajišťuje odstranění aktivních HTML značek z textu, resp. jejich nahrazení Escape sekvencemi. Vlivem této chyby je upraven pouze první výskyt řetězce, další jsou ponechány v původním stavu. To opět umožňuje útočníkovi vložit libovolný kód.
Oprava problému
Možnosti, jak popsané chyby odstranit, jsou dvě. Jelikož jde o chybu přímo v jádře Drupalu, měli byste jej aktualizovat na nejnovější verzi (pokud tedy již používáte Drupal 6). Pokud z nějakých důvodů nemůžete aktualizaci provést okamžitě, použijte alespoň připravený patch. Následující odkazy vedou na soubory z Drupal.org:
Další informace o Drupalu 6 najdete zde na Maxiorlovi nebo na Drupal.org.
Reklama
Reklama
Sledujte Maxiorla na Facebooku
Poslední články a aktuality
Poslední komentáře
- Super shrnutí 10 min zpět
- Ty metatagy jsem na některých 39 min 50 sek zpět
- Ano, modul https://www.drupal 1 min 29 sek zpět
- Bezpečnost a výkon Drupalu 1 hodina 18 sek zpět
- Re: xmlsitemap / metatag 1 hodina 4 min zpět
- "Honza zmínil, že Drupal se 1 hodina 39 min zpět
- xmlsitemap / metatag 1 hodina 53 min zpět
- Písmo 3 dny 7 hodin zpět
- Acer nejde se mi dostat do biosu 6 dnů 16 hodin zpět
- Externí rámeček 1 týden 23 hodiny zpět
Nové diskuze
Přidat komentář