Programování, tvorba webu

Publikační systém Drupal se dočkal páté, novinkami prošpikované verze. Vývoj trval osm měsíců a změna hlavního čísla verze ještě déle, neboť Drupal 4 byl uvolněn v roce 2002. Stovky vývojářů pracovali na doplnění více jak tisícovky úprav. Změn se dočkala administrační část, přibyly nové funkce pro práci s obsahem, webový instalátor, vylepšeno bylo také API, atd. Vývojáře bude zajímat vestavěná podpora jQuery JavaScript library, která mimo jiné umožňuje snadné použití AJAXu.

Nejnovější bezpečností hlášení z komunity okolo Drupalu se týká modulu CVS management/tracker a je označeno jako méně kritické. Tento modul není součástí jádra Drupalu, takže aktualizovat budou jen ti, kdo jej používají. Problém opět spočívá v XSS.

Pokud používáte na svém webu CMS systém Drupal, pak byste měli věnovat pozornost novým bezpečnostním informacím. Podle zpráv DRUPAL-SA-2006-025 a DRUPAL-SA-2006-026 trpí jádro systému dvěma více a méně kritickými problémy.

Včera v noci se objevily dvě bezpečnostní zprávy týkající se XSS zranitelnosti drupalovských modulů Site Profile Directory a Search Keyword (viz zmínka na mém webu). Problémy jsou označeny jako méně a středně kritické. Oba problémy jsou způsobeny nedostatečnou kontrolou na výstupu a mohou vést až ke získání práv administrátora webu.

Používáte ve Windows open source grafický editor GIMP a rádi byste s ním otevírali zapouzdřené postscriptové soubory EPS? GIMP to zvládne, jenom je potřeba mu trošku pomoci. Tak, jak je u open source softwaru zvykem, i v tomto případě si budete muset dopomoci další aplikací.

Připravil jsem jednoduchý dotazník. Budu rád, když se anonymně vyjádříte k tomu, co se vám na zálohovacím programu Copy2Backup líbí/nebílí, a co byste změnili.

A máme tu další zprávu o bezpečnostních problémech modulů pro CMS systém Drupal. Stejně jako v mnoha minulých případech, i tentokrát jde o XSS zranitelnost. Týká se modulu Userreview, takže není nutné aktualizovat celý systém. Chyba je označena jako méně kritická.

Problém v modulu Pathauto se týká XSS zranitelnosti, které lze docílit speciálně upraveným odkazem. Bezpečnostní problém je o to vážnější, že za určitých situací může útočník získat administrátorská oprávnění.

Další bezpečnostní oznámení, které poslal Drupal Security Team, se týká zranitelnosti v podobě SQL injektáže a XSS v modulu Easylinks. Zmíněné chyby může útočník zneužít díky nedostatečnému ošetření vstupu a výstupu.

E-commerce je povedený modul pro publikační systém Drupal. S tímto modulem máte možnost vytvořit z drupalovského webu elektronický obchod se vším všudy. Dnes byla oznámena XSS zranitelnost v tomto modulu, která byla označena jako méně kritická. Provést ji mohou uživatelé s oprávněním pro vkládání nových produktů do prodeje.

Stahovat můžete novou verzi grafické nadstavby pro kompresor UPX. Maxiorel GUI4UPX 2.1 řeší problém se zpracováním některých souborů obsahujících v názvu nebo v cestě mezeru. Funkce pro vytváření dávkových souborů BAT nebyla touto chybou ovlivněna.

Používáte drupalovský modul pro filtrování klíčových slov z odkazovačů, které vedou na vaše stránky? Modul Search Keywords je výborným doplňkem k základní statistice nabízené v rámci jádra publikačního systému Drupal. Zobrazí vám tabulku s daty návštěv, použitými vyhledávači a hledanými řetězci.

Včerejší zpráva o opravě modulu Recipe pro Drupal řady 4.6 byla zřejmě vydána poněkud předčasně, protože dnešní oznámení DRUPAL-SA-2006-014 sděluje, že po vydání opravného balíčku byla chyba opět nalezena. Aktualizovaná verze modulu Recipe pro řadu 4.6 by celou záležitost již měla vyřešit. Moduly s hlavičkou starší než // $Id: recipe.module,v 1.39.2.3 2006/08/08 21:38:40 heine Exp $ tedy neváhejte aktualizovat.

Netrvalo dlouho a po vydání Drupalu 4.7.3 řešícího XSS zranitelnost v modulu user je tu další várka opravených modulů. Ty tentokrát nejsou součástí drupalovského jádra, takže nemusíte aktualizovat celý systém, pokud uvedené moduly nepoužíváte.