Další várka záplat pro drupalovské moduly

Vzhledem k tomu, že nejde o žádný problém jádra, není potřeba to vnímat až tak dramaticky. Záleží samozřejmě na tom, jestli dané moduly na svém webu používáte nebo nikoli. Zde je tedy přehled postižených modulů, jejich chyb a seznam odkazů na stránky, odkud můžete stahovat opravy. 

Ještě před půlnocí byla oznámena středně kritická chyba v modulu Secure Site. Útočník sedící za stejným proxy serverem jako přihlášený uživatel může získat jeho přístup k webu. Další středně kritickou chybu najdete v modulu Project issue tracking. Ta spočívá v nechvalně známém XSS, které moduly Drupalu často trápí. Stejný modul obsahuje také vysoce kritickou chybu umožňující nahrávat soubory se zákeřným obsahem a následně spouštět kód. 

V modulu Userpoint najdete problém se špatným využitím Drupal Form API, který může vést k Cross site request forgery. Chyba nicméně není označena jako kritická. Naopak vysoce kritický problém najdete v modulu Comment upload. I ten umožňuje za určitých okolností dostat do systému nebezpečné soubory a následně spouštět jejich kód. Zatím poslední oznámení se týká modulu OpenID a je označeno jako méně kritické. Chyba dává prostor pro vytvoření podvodného přihlašovacího serveru, který se může tvářit jako autorizační systém pro jinou doménu.

Opravy modulů pro Drupal 

Stahujte opravené moduly, které odpovídají použité verzi Drupalu na vašem webu, případně souhlasí s dosud použitou vývojovou řadou modulu, který používáte. Odkazy vedou na webové stránky jednotlivých modulů.

• Secure Site 5.x-1.1
• Secure Site 4.7.x-1.1
• Project issue tracking 5.x-2.0
• Project issue tracking 5.x-1.3
• Project issue tracking 4.7.x-2.7
• Project issue tracking 4.7.x-1.7
• Userpoints 4.7.x-2.3
• Userpoints 5.x-2.16
• Userpoints 5.x-3.3
• Comment upload 4.7.x-0.1
• Comment upload 5.x-0.1
• OpenID 5.x-1.1