Programování, tvorba webu

Nejnovější bezpečností hlášení z komunity okolo Drupalu se týká modulu CVS management/tracker a je označeno jako méně kritické. Tento modul není součástí jádra Drupalu, takže aktualizovat budou jen ti, kdo jej používají. Problém opět spočívá v XSS.

Pokud používáte na svém webu CMS systém Drupal, pak byste měli věnovat pozornost novým bezpečnostním informacím. Podle zpráv DRUPAL-SA-2006-025 a DRUPAL-SA-2006-026 trpí jádro systému dvěma více a méně kritickými problémy.

Včera v noci se objevily dvě bezpečnostní zprávy týkající se XSS zranitelnosti drupalovských modulů Site Profile Directory a Search Keyword (viz zmínka na mém webu). Problémy jsou označeny jako méně a středně kritické. Oba problémy jsou způsobeny nedostatečnou kontrolou na výstupu a mohou vést až ke získání práv administrátora webu.

Používáte ve Windows open source grafický editor GIMP a rádi byste s ním otevírali zapouzdřené postscriptové soubory EPS? GIMP to zvládne, jenom je potřeba mu trošku pomoci. Tak, jak je u open source softwaru zvykem, i v tomto případě si budete muset dopomoci další aplikací.

Připravil jsem jednoduchý dotazník. Budu rád, když se anonymně vyjádříte k tomu, co se vám na zálohovacím programu Copy2Backup líbí/nebílí, a co byste změnili.

A máme tu další zprávu o bezpečnostních problémech modulů pro CMS systém Drupal. Stejně jako v mnoha minulých případech, i tentokrát jde o XSS zranitelnost. Týká se modulu Userreview, takže není nutné aktualizovat celý systém. Chyba je označena jako méně kritická.

Problém v modulu Pathauto se týká XSS zranitelnosti, které lze docílit speciálně upraveným odkazem. Bezpečnostní problém je o to vážnější, že za určitých situací může útočník získat administrátorská oprávnění.

Další bezpečnostní oznámení, které poslal Drupal Security Team, se týká zranitelnosti v podobě SQL injektáže a XSS v modulu Easylinks. Zmíněné chyby může útočník zneužít díky nedostatečnému ošetření vstupu a výstupu.

E-commerce je povedený modul pro publikační systém Drupal. S tímto modulem máte možnost vytvořit z drupalovského webu elektronický obchod se vším všudy. Dnes byla oznámena XSS zranitelnost v tomto modulu, která byla označena jako méně kritická. Provést ji mohou uživatelé s oprávněním pro vkládání nových produktů do prodeje.

Stahovat můžete novou verzi grafické nadstavby pro kompresor UPX. Maxiorel GUI4UPX 2.1 řeší problém se zpracováním některých souborů obsahujících v názvu nebo v cestě mezeru. Funkce pro vytváření dávkových souborů BAT nebyla touto chybou ovlivněna.

Používáte drupalovský modul pro filtrování klíčových slov z odkazovačů, které vedou na vaše stránky? Modul Search Keywords je výborným doplňkem k základní statistice nabízené v rámci jádra publikačního systému Drupal. Zobrazí vám tabulku s daty návštěv, použitými vyhledávači a hledanými řetězci.

Včerejší zpráva o opravě modulu Recipe pro Drupal řady 4.6 byla zřejmě vydána poněkud předčasně, protože dnešní oznámení DRUPAL-SA-2006-014 sděluje, že po vydání opravného balíčku byla chyba opět nalezena. Aktualizovaná verze modulu Recipe pro řadu 4.6 by celou záležitost již měla vyřešit. Moduly s hlavičkou starší než // $Id: recipe.module,v 1.39.2.3 2006/08/08 21:38:40 heine Exp $ tedy neváhejte aktualizovat.

Netrvalo dlouho a po vydání Drupalu 4.7.3 řešícího XSS zranitelnost v modulu user je tu další várka opravených modulů. Ty tentokrát nejsou součástí drupalovského jádra, takže nemusíte aktualizovat celý systém, pokud uvedené moduly nepoužíváte.

Včera, tedy 2. srpna 2006, byly vydány další opravné verze redakčního systému Drupal. Jak se můžete dočíst na hlavním webu Drupalu (www.drupal.org), jde o opravy týkající se několika problémů nahlášených zachytávačem bugů a o opravu jedné bezpečnostní chyby.