Drupal.cz

Dnes byly vydány nové verze Drupal jádra 6.18 a 6.19 a 5.23. Opravují několik bezpečnostních chyb, které se Vás mohou týkat, pokud používáte určité moduly (viz níže). Protože toto vydání je unikátní v tom, že vyšly dvě nové verze jádra 6.x, přinášíme více informací pro uživatele, kteří mohou být verzemi spleteni.

V jádře byly opraveny následující problémy:

• Problém s modulem OpenID, který za určitých okolností umožňoval obejít autentizaci. Pokud používáte OpenID, rozhodně upgradujte, pokud ne, nemáte se čeho bát.
• Problém s privátními transfery souborů – Drupal kontroluje název souboru vůči databázi, ale protože se tato kontrola provádí přímo v SQL, některé SQL servery mohou kontrolu provést bez rozlišení velikosti písmen. To přináší potenciální problém. Pokud používáte privátní přenos souborů, upgradujte.
• Pokud uživatel pošle komentář k článku který administrátor následně odpublikuje, může ten samý uživatel zneužít chybu, kterou komentář opět publikuje. Upgradujte.
• Modul Actions obsahuje XSS chybu, uživatelé, kteří mají právo administrovat akce ji mohou zneužít.

Proč byla vydána zároveň verze 6.18 a 6.19? Drupal Security Team přešel na nový způsob vydávání nových verzí jádra – verze 6.18 opravuje pouze bezpečnostní chyby, zatímco verze 6.19 opravuje jak bezpečnostní chyby, tak i jiné, které byly nalezeny v průběhu životního cyklu od vydání poslední verze. Pokud chcete nasadit aktualizaci pouze bezpečnosti, instalujte 6.18.

Nebezpečí: Kritické

Týká se jádra: Ano

Postižený modul: Drupal

Opraveno ve verzích: 6.18, 6.19, 5.23

Odkaz na stažení nové verze: Drupal 6.18 či Drupal 6.19 či Drupal 5.23