Drupal 6 obsahuje středně kritickou chybu
Netrvalo to příliš dlouho a objevil se první bezpečnostní problém u nejnovější řady redakčního systému Drupal. Jeho šestá verze obsahuje středně kritickou chybu, díky které může škodolibý uživatel vložit do nadpisů libovolný HTML kód a skriptovat tak obsah stránek. Jde tedy o ukázkový příklad problému Cross-site scripting, neboli XSS. Více informací o něm najdete třeba na Wikipedii.
Reklama
Drupal 6 obsahuje také chybu v checkPlain, která zajišťuje odstranění aktivních HTML značek z textu, resp. jejich nahrazení Escape sekvencemi. Vlivem této chyby je upraven pouze první výskyt řetězce, další jsou ponechány v původním stavu. To opět umožňuje útočníkovi vložit libovolný kód.
Oprava problému
Možnosti, jak popsané chyby odstranit, jsou dvě. Jelikož jde o chybu přímo v jádře Drupalu, měli byste jej aktualizovat na nejnovější verzi (pokud tedy již používáte Drupal 6). Pokud z nějakých důvodů nemůžete aktualizaci provést okamžitě, použijte alespoň připravený patch. Následující odkazy vedou na soubory z Drupal.org:
Další informace o Drupalu 6 najdete zde na Maxiorlovi nebo na Drupal.org.
Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer a Site Builder a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.
Reklama
Reklama
Sledujte Maxiorla na Facebooku
Poslední články a aktuality
Poslední komentáře
- Online nástroj pro práci s 1 hodina 37 min zpět
- Dotazy k feedu 22 hodiny 3 min zpět
- Druhý dotaz, může se jednat 1 den 4 hodiny zpět
- Přidání kořenové značky 1 den 5 hodin zpět
- Řetězce jednoduše 2 dny 59 min zpět
- Díky za info. No pár drobáků 1 týden 6 dnů zpět
- Re: Výběr BATu 1 týden 6 dnů zpět
- Výběr BATu 2 týdny 1 hodina zpět
- Re: Superfish 1 měsíc 3 dny zpět
- Dotaz 1 měsíc 1 týden zpět
Nové diskuze
Přidat komentář