SQL injektáž a jádro Drupalu
Nestává se příliš často, aby bylo postiženo přímo jádro Drupalu, nicméně chyba se vloudí, nikdo není neomylný. Aktuální problém způsobuje funkce taxonomy_select_nodes() a její vkládání proměnných do SQL dotazů. Tuto funkci využívá hned několik doplňkových modulů, jako je třeba taxonomy_menu, ajaxLoader a uBrowser, které do SQL dotazu přímo vkládají vstup uživatele, což je neoddiskutovatelné bezpečnostní riziko. Řešením je tedy aktualizace Drupalu na nejnovější verze.
Zde jsou přímé odkazy:
Problémy modulů Shoutbox a Feature
Další nově objevená bezpečnostní rizika se týkají modulů Shoutbox a Feature. Abyste zabránili XSS útokům, aktualizujte na nejnovější verze, pokud tyto moduly používáte.
Jak sledovat aktualizace?
Drupal 5.x nemá narozdíl od připravované šesté řady vestavěný aktualizační mechanismus. Abyste mohli jednoduše sledovat, které moduly mají nové verze (ať už z pohledu zabezpečení nebo funkcionality), pak vám vřele doporučuji instalaci modulu Update Status. Oznámí vám dostupnost nových verzí instalovaných modolů, nabídne přímé odkazy na seznamy změn a novinek, sleduje také aktualizace jádra Drupalu. Více informací najdete v článku Jak udržet web s Drupalem v aktualizovaném stavu.
Tvůrce webů z Brna se specializací na Drupal, WordPress a Symfony. Acquia Certified Developer & Site Builder. Autor několika knih o Drupalu.
Web Development Director v Lesensky.cz. Ve volných chvílích podnikám výlety na souši i po vodě. Více se dozvíte na polzer.cz a mém LinkedIn profilu.
Přidat komentář