Drupal.cz

Dnes byly vydány nové verze Drupal jádra 6.18 a 6.19 a 5.23. Opravují několik bezpečnostních chyb, které se Vás mohou týkat, pokud používáte určité moduly (viz níže).

Na anglickém blogu jsem vydal článek o zabezpečování PHP pomocí technologie Suhosin, podívejte se: Drupal security: using suhosin to secure PHP.

Rád bych upozornil na tento článek, který rozebírá pro nás Drupalisty častý problém se zbytečné technickém omezování hostingů na českém trhu.

Nové verze Drupalu 6.14 a 5.20 opravují několik bezpečnostních chyb:

V Drupalu 6.13 a nižším:

Dnes začal antivirus TrendMicro označovat některé soubory Drupalu jako zavirované. Evidentně jde o chybu v aktualizaci antiviru a firma Trend Micro již byla informována.

Drupal 6.13 opravuje některé bezpečnostní chyby:

Cross Site Scripting v modulu Forum, problém s formátem vstupu podpisů uživatelů, a možné zveřejnění údajů v tabulkách, které je možné seřadit a uživatel na ně přijde poté, co zadá špatné jméno a heslo.

V minulém článku o bezpečném programování v Drupalu jsme vyhlásili minisoutěž. Dnes přinášíme výsledky a výherce.

Relativně nový modul Feed Block obsahuje klasické Cross Site Scripting. Modul Print opravuje stejnou chybu, jaké obsahovalo jádro – pořadí meta hlaviček.

LoginToboggan obsahuje možnost zalogování uživatelů pomocí e-mailu. Za určitých podmínek bylo možné, aby se přihlásil uživatel, který byl předtím zablokován.

Vyšel Drupal 6.12 a 5.18, opravující XSS v Taxonomy a doplňující opravu z minulé verze. Stahujte

S tím jak roste povědomí o Drupalu v ČR i ve světě, roste také počet lidí, kteří Drupal nepoužívají jen jako CMS, ale také jako webový framework. Píší vlastní PHP kód a případně i moduly. Zvlášť v PHP vše není jen tak a je třeba dodržovat některá základní pravidla, bez kterých bude výsledkem jen napadnutelná aplikace. Jak na to? Vše okořeníme soutěží o tričko.

Pokud Drupal vypisuje uživatelská data, vždy je chrání před útoky na nebezpečné HTML tagy. Existují speciální sekvence znaků, které jsou validní v UTF-8, ale stále také v UTF-7 kódování.

Populární Fivestar umožňuje uživatelům hodnotit obsah pomocí hvězdiček. Fivestar je však náchylný na CSRF útok a tak umožňuje útočníkovi zařídit, aby uživatel hlasovat, aniž by o tom věděl.

Chyba se netýká jádra, pokud nepoužíváte Fivestar, nemusíte nic dělat.

News Page na jedné stránce zobrazuje RSS položky obsahující určité klíčové slovo. Bohužel je náchylný k SQL Injection útoku.

Chyba se netýká jádra, pokud nepoužíváte News Page, nemáte se čeho bát.

EXIF umožňuje uživatelům zobrazit EXIF tagy z fotek. Tagy nejsou správně filtrovány a proto může uživatel nahrát speciálně upravenou fotku, která způsobí provedení XSS útoku. To může vést až k získání administrátorského přístupu.

Chyba se netýká jádra, pokud nepoužíváte modul EXIF, nemusíte nic dělat.

Dnes řeším teprve druhý hack webu provedený přes uložená hesla v Total Commanderu. Copak toho nebude nikdy dost? Nejlepší je, že většina lidí nejdříve obviňuje svůj CMS.

První případ se ozval přes e-mail, že prý hacked. Zatím jsme nedošli k výsledku, ale symptomy vedou na typický Total Commander.

Druhý případ na jednom dedikovaném serveru od nejmenované společnosti.