Drupal.cz

Drupal 6 používá zcela nový systém menu, který umožňuje větší granularitu systému práv pro uživatele. V tomto systému se nachází chyba ve verzích nižších, než 6.2, která umožňuje kterémukoliv uživateli editovat stránku profilu jiným uživatelům, zobrazit tracker nebo stránky blogu i bez přístupu k obsahu („access content“) či editovat typy obsahu pokud má uživatel přístup k zobrazení administrace. Pozor! Čtěte postup upgradu níže.

Nebezpečí: Střední

Týká se jádra: Ano

Postižený modul: Drupal

Opraveno ve verzích: Drupal 6.2 a výše

Odkaz na stažení nové verze: Drupal 6.2 či Patch pro verzi 6.1

Poznámky:

Pozor! Čtěte postup upgradu níže.

Pokud nemůžete upgradovat, použijte patch, na který je zde odkázáno. Tento patch zabezpečí Váš web, ale není optimální, protože nezahrnuje některé opravy systému menu, které obsahují výchozí hodnoty pro zabezpečení stránek. Upgrade je doporučen.

• Nejprve se ujistěte, že jste přihlášení jako uživatel s číslem 1 nebo máte v settings.php nastaveno $update_free_access = TRUE (nedoporučujeme].
• Nastavte Váš web do offline módu (v českém překladu „Údržba webu“).
• Až poté nahrajte nový zdrojový kód!
• Spusťte update.php.
• Pusťte Váš web zpět do online módu (Pokud Vás něco odhlásilo, přihlašte se jako vasestranka.cz?q=user.
• Pokud jste v settings.php nastavili proměnnou, nastavte ji zpět na $update_free_access = FALSE;.

Pokud tento postup nedodržíte a zdrojáky Drupalu nahrajete do svého adresáře před tím, než ho přepnete do offline módu, výsledkem bude chyba: „Fatal error: Call to undefined function user_uid_optional_to_arg() in includes/menu.inc on line 594“

A vy nebudete mít žádnou možnost, jak web do offline módu přepnout bez zásahu přímo do databáze.

(Mimochodem, zálohujete?)