Šest chyb v Drupalu, postiženo i jádro

Nemilá zpráva čekala dnes ráno na uživatele redakčního systému Drupal. Bylo vydáno hned šest bezpečnostních oznámení, které popisují lehce, středně a dokonce i vysoce kritické problémy. Postiženo je jimi několik doplňkových modulů, nicméně kritické problémy se týkají i jádra Drupalu. K aktualizacím tedy budou muset přistoupit všichni jeho uživatelé. 

Postiženy jsou moduly Atom (doplňková RSS čtečka), DevelBUEditor a Fileshare. Přímo v jádře Drupalu je postižen modul Aggregator a správa témat spolu se zpracováním řetězců. Méně kritická chyba v Atomu způsobuje export obsahu, který nemusí respektovat aktuálně nastavená přístupová práva. Problém BUEditoru se týká nesprávného využití Drupal Forms API a možnosti Cross site request forgery. V případě modulu Fileshare jde o svévolné spouštění kódu uživateli, kteří mají oprávnění pro vytvoření obsahu pro Fileshare. 

CSRF problém se týká také RSS agregátoru v jádře Drupalu. Další problém týkající se zpracování řetězců se projeví zejména v prohlížeči Internet Explorer 6 při špatném zpracování stránky v UTF-8, což může vést k podstrčení a následnému spuštění JavaScriptového kódu. Jde tedy o XSS, které hrozí také při zapnuté proměnné PHP register_globals a způsobuje problém i v modulu Devel.

Řešení problému 

V případě doplňkových modulů je okamžitým řešením jejich vypnutí, pokud je to možné. Co se týče zranitelnosti jádra, tam je samozřejmě možné použít patche opravující přímo konkrétní moduly a je nutné vypnout register_globals v nastavení PHP nebo v souboru .htaccess.

Opravné balíčky 

Všechny odkazy vedou přímo na balíčky pro stažení z Drupal.org.

Kam zmizel modul Fileshare? 

Pro modul Fileshare nebyla vydána žádná oprava, namísto toho bylo rozhodnuto o jeho odstranění z Drupal.org. Jde o poměrně razantní opatření, které jsem za dobu svého používání Drupalu zaznamenal vůbec poprvé.

Buďme ve spojení, přihlaste se k newsletteru

Odesláním formuláře souhlasíte s podmínkami zpracováním osobních údajů. 
Více informací v Ochrana osobních údajů.

Profile picture for user Jan Polzer
Autor článku: Jan Polzer

Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.

@maxiorel

Komentáře k článku

návštěvník

Lukáš V. (neověřeno) 11. 1. 2008 - 11:51 # 1121

Můžu se zeptat Honzo, ty se i nějak podílíš na vývoji Drupalu nebo alespoň lokalizaci, nebo jsi jen nadšeným uživatelem?

Profile picture for user Jan Polzer

Spíš nadšeným uživatelem, který k Drupalovi přešel od systému Mambo/Joomla. Nicméně slíbil jsem pomoc s lokalizací šestky, abych se do komunity taky něčím "hmatatelným" zapojil.

A myslím, že jsem jedním z mála odvážných, kteří Drupal 6 nasadili do ostrého provozu - viz Backup HowTo.

Jan Polzer, Maxiorel.cz, Archiv Screenshotů 

Přidat komentář

Odesláním komentáře souhlasíte s podmínkami Ochrany osobních údajů

reklama
Moje kniha o CMS Drupal

 

Kniha 333 tipů a triků pro Drupal 9


Více na KnihyPolzer.cz

Sledujte Maxiorla na Facebooku

Maxiorel na Facebooku

Hosting pro Drupal a WordPress

Hledáte český webhosting vhodný nejenom pro redakční systém Drupal? Tak vyzkoušejte Webhosting C4 za 1200 Kč na rok s doménou v ceně, 20 GB prostoru a automatické navyšováním o 2 GB každý rok. Podrobnosti zde.

@maxiorel na Twitteru

Maxiorel na Twitteru