Drupal 6 obsahuje středně kritickou chybu

28. 2. 2008 (aktualizováno 3. 5. 2020), Jan Polzer
Netrvalo to příliš dlouho a objevil se první bezpečnostní problém u nejnovější řady redakčního systému Drupal. Jeho šestá verze obsahuje středně kritickou chybu, díky které může škodolibý uživatel vložit do nadpisů libovolný HTML kód a skriptovat tak obsah stránek. Jde tedy o ukázkový příklad problému Cross-site scripting, neboli XSS. Více informací o něm najdete třeba na Wikipedii.

Drupal 6 obsahuje také chybu v checkPlain, která zajišťuje odstranění aktivních HTML značek z textu, resp. jejich nahrazení Escape sekvencemi. Vlivem této chyby je upraven pouze první výskyt řetězce, další jsou ponechány v původním stavu. To opět umožňuje útočníkovi vložit libovolný kód.

Oprava problému

Možnosti, jak popsané chyby odstranit, jsou dvě. Jelikož jde o chybu přímo v jádře Drupalu, měli byste jej aktualizovat na nejnovější verzi (pokud tedy již používáte Drupal 6). Pokud z nějakých důvodů nemůžete aktualizaci provést okamžitě, použijte alespoň připravený patch. Následující odkazy vedou na soubory z Drupal.org:

Další informace o Drupalu 6 najdete zde na Maxiorlovi nebo na Drupal.org.

Buďme ve spojení, přihlaste se k newsletteru

Odesláním formuláře souhlasíte s podmínkami zpracováním osobních údajů. 
Více informací v Ochrana osobních údajů.

Profile picture for user Jan Polzer
Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.

@maxiorel

Komentáře k článku

Přidat komentář

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Moje kniha o CMS Drupal

 

Kniha 333 tipů a triků pro Drupal 9


Více na KnihyPolzer.cz

Poslední komentáře