Kritické chyby v Drupalu a nové verze

Středně kritická zranitelnost jádra Drupalu umožňuje některým uživatelům vložit kód, který se stane součástí hlavičky vygenerované stránky. To může vést až k protlačení nebezpečného kódu do cache a injektáži. 

Další, tentokrát vysoce kritická zranitelnost, se týká instalátoru Drupalu. Ten totiž umožní komukoli opětovně zadat přihlašovací údaje a další nastavení pro databázi v případě, že se systém nebude například kvůli nějakému výpadku, moci připojit ke své databázi. Okamžitým řešením této trestuhodné chyby je odstranění souboru install.php z kořenového adresáře Drupalu. 

Třetí zranitelnost jádra Drupalu označená jako středně kritická se týká XSS. Je-li v modulu upload povoleno nahrávání souborů HTML, pak uživatel může velmi snadno podstrčit nebezpečný kód. Doporučuje se zkontrolovat všechny soubory přidané pomocí modulu Upload na web. 

Čtvrtá zranitelnost jádra Drupalu přidává pomocí Drupal Forms API ochranu před možností odeslání formuláře neoprávněným uživatelem. Ten za určitých okolností může docílit toho, že by se zpracoval požadavek na smazání konkrétního uživatele ze systému. Ostatní formuláře již byly chráněny. 

Poslední zranitelnost, která však není označena za kritickou, opravuje stav, kdy zpracování příznaku publikování u komentářů, nebylo u některých modulů vždy správně ošetřeno. 

V případě modulu Weblinks může dojít k podstrčení nebezpečných souborů se skripty a posléze k získání administrátorského oprávnění. U některých modulů, které využívají modul Token může dojít k úspěšnému provedení XSS, a to za předpokladu, že útočník vloží nebezpečný kód do komentářů. 

Poslední zranitelnost, na kterou včerejší bezpečnostní hlášení upozorňují, se týká problému v samotném PHP. Problém je u funkce unset(). Drupal ji používá k potlačení všech nevyprázdněných globálních proměnných, pokud je aktivní volba register_globals, což je výchozí stav po instalaci PHP. Chyba může způsobit provedení nebezpečného PHP k´du za předpokladu, že útočník si připraví URL adresu v potřebném tvaru. Tento exploit se velmi rozšířil, a je tudíž pro instalace Drupalu velmi nebezpečný. Netýká se instalací, kde je v konfiguraci PHP vlastnost register_globals vypnuta. 

V případě posledního problému s PHP je doporučeným řešením okamžitá instalace nejnovější verze PHP, tedy PHP 4.4.7 pro čtverkovou řadu a PHP 5.2.4 pro pětku. Aktualizace pro Drupal a příslušné moduly můžete stahovat z těchto odkazů: 

• Drupal 5.3
• Drupal 4.7.8
• Weblinks 4.7.x-1.0
• Weblinks 5.x-1.8
• Token 4.7.x-1.5
• Token 5.x-1.9

Pro příznivce Drupalu je tu i potěšující zpráva. Uvolněna byla druhá betaverze Drupalu 6, což znamená, že se vydání finální šesté verze blíží. Jak už to u betaverzí bývá, bylo přidáno mnoho uživatelských vylepšení a byly odstraněny kvanta chyb. Tato betaverze také zahrnuje všechny opravy bezpečnostních chyb zmíněných výše. Zajímavu novinkou je oddělení modulu Drupal.module od samotného balíčku Drupalu. Je to kvůli lepší a bezpečnější podpoře distribuované autentifikace v Drupalu 6 pomocí OpenID. Kompletní přehled novinek najdete v článku Drupal 6.0 beta 2 released.