Kritické chyby v Drupalu a nové verze

Během včerejška se sešlo hned několik bezpečnostních hlášení, které se týkají zranitelnosti redakčního systému Drupal. Postiženo je jádro i několik doplňkových modulů. Aktualizaci svých systémů byste tedy rozhodně neměli odkládat. Zároveň s řešením problémů byly uvolněny nové verze celého Drupalu.
reklama

Zranitelnost jádra Drupalu 

Středně kritická zranitelnost jádra Drupalu umožňuje některým uživatelům vložit kód, který se stane součástí hlavičky vygenerované stránky. To může vést až k protlačení nebezpečného kódu do cache a injektáži. 

Další, tentokrát vysoce kritická zranitelnost, se týká instalátoru Drupalu. Ten totiž umožní komukoli opětovně zadat přihlašovací údaje a další nastavení pro databázi v případě, že se systém nebude například kvůli nějakému výpadku, moci připojit ke své databázi. Okamžitým řešením této trestuhodné chyby je odstranění souboru install.php z kořenového adresáře Drupalu. 

Třetí zranitelnost jádra Drupalu označená jako středně kritická se týká XSS. Je-li v modulu upload povoleno nahrávání souborů HTML, pak uživatel může velmi snadno podstrčit nebezpečný kód. Doporučuje se zkontrolovat všechny soubory přidané pomocí modulu Upload na web. 

Čtvrtá zranitelnost jádra Drupalu přidává pomocí Drupal Forms API ochranu před možností odeslání formuláře neoprávněným uživatelem. Ten za určitých okolností může docílit toho, že by se zpracoval požadavek na smazání konkrétního uživatele ze systému. Ostatní formuláře již byly chráněny. 

Poslední zranitelnost, která však není označena za kritickou, opravuje stav, kdy zpracování příznaku publikování u komentářů, nebylo u některých modulů vždy správně ošetřeno. 

Zranitelnost modulů Weblinks  a Token 

V případě modulu Weblinks může dojít k podstrčení nebezpečných souborů se skripty a posléze k získání administrátorského oprávnění. U některých modulů, které využívají modul Token může dojít k úspěšnému provedení XSS, a to za předpokladu, že útočník vloží nebezpečný kód do komentářů. 

Zranitelnost ve starších verzích PHP 

Poslední zranitelnost, na kterou včerejší bezpečnostní hlášení upozorňují, se týká problému v samotném PHP. Problém je u funkce unset(). Drupal ji používá k potlačení všech nevyprázdněných globálních proměnných, pokud je aktivní volba register_globals, což je výchozí stav po instalaci PHP. Chyba může způsobit provedení nebezpečného PHP k´du za předpokladu, že útočník si připraví URL adresu v potřebném tvaru. Tento exploit se velmi rozšířil, a je tudíž pro instalace Drupalu velmi nebezpečný. Netýká se instalací, kde je v konfiguraci PHP vlastnost register_globals vypnuta. 

Opravy a řešení problémů s PHP 

V případě posledního problému s PHP je doporučeným řešením okamžitá instalace nejnovější verze PHP, tedy PHP 4.4.7 pro čtverkovou řadu a PHP 5.2.4 pro pětku. Aktualizace pro Drupal a příslušné moduly můžete stahovat z těchto odkazů: 

Drupal 6.0 Beta 2 

Pro příznivce Drupalu je tu i potěšující zpráva. Uvolněna byla druhá betaverze Drupalu 6, což znamená, že se vydání finální šesté verze blíží. Jak už to u betaverzí bývá, bylo přidáno mnoho uživatelských vylepšení a byly odstraněny kvanta chyb. Tato betaverze také zahrnuje všechny opravy bezpečnostních chyb zmíněných výše. Zajímavu novinkou je oddělení modulu Drupal.module od samotného balíčku Drupalu. Je to kvůli lepší a bezpečnější podpoře distribuované autentifikace v Drupalu 6 pomocí OpenID. Kompletní přehled novinek najdete v článku Drupal 6.0 beta 2 released.

Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal a Symfony. Obojí také školím spolu se základy SEO. Jsem Acquia Certified Developer a Site Builder a napsal jsem několik knih o Drupalu. Ve volných chvílích cestuji a podnikám výlety. Více se dozvíte na mém firemním webu.

reklama

Komentáře k článku

Přidat komentář

Filtered HTML

  • Povolené HTML značky: <a href hreflang> <em> <strong> <cite> <code> <ul type> <ol start type> <li> <dl> <dt> <dd> <p> <br>
  • Řádky a odstavce se zalomí automaticky.
  • Web page addresses and email addresses turn into links automatically.

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Poslední komentáře
reklama
Nové diskuze
reklama
Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

Knihy o Drupalu

Kniha Drupal 8 Kniha Drupal 7 333 tipů a triků pro Drupal
Více na KnihyPolzer.cz

Co píší na Interval.cz
@maxiorel na Twitteru

Maxiorel na Twitteru