Drupal 6.19, 6.18 и Drupal 5.23

Рекомендуется как можно скорее обновить сайты до последних версий. Эти версии не содержат новых возможностей, но исправляют ошибки найденные в предыдущих версиях.

• Drupal 6.19 (английский язык)
• Drupal 6.18 (английский язык)
• Drupal 5.23 (английский язык)

Информацию об основных новых возможностях можно найти в документах Drupal 6.0 и Drupal 5.0. Отметьте: Drupal 5 не будет поддерживаться после выхода Drupal 7.

Информация об обновлении

Drupal 6.18 и 5.23 исправляют критические ошибки найденные в предыдущих версиях. Drupal 6.19 также включает исправления незначительных ошибок полученные через ленту сообщений. Файлы .htaccess, (default.)settings.php и robots.txt в этих версиях не изменялись, поэтому вы можете не беспокоиться об их замене.

Изменения в новых версиях

• Drupal 6.19 release notes
• Drupal 6.18 release notes
• Drupal 5.23 release notes

Все изменения внесённые в ветки

• http://drupal.org/project/cvs/3060/?branch=DRUPAL-6
• http://drupal.org/project/cvs/3060/?branch=DRUPAL-5

Проблемы с безопасностью и патчи

Информацию о проблемах связанных с безопасностью можно найти в документе SA-CORE-2010-002. Мы сделали доступными две версии Drupal 6, поэтому вы можете выбрать, какую версию использовать.

• Drupal 6.18 включает исправления связанные с безопасностью
• Drupal 6.19 включает исправления связанные с безопасностью
  — и исправления других ошибок

Мы пытаемся сделать более лёгким и быстрым процесс обновления, выпуская версии которые содержат только исправления критических ошибок и версии, которые включают исправления критических ошибок и исправления других незначительных ошибок.

SA-CORE-2010-002 - Drupal core - Multiple vulnerabilities:

• Обход идентификации по OpenID

  Модуль OpenID даёт пользователям возможность входить на сайты используя OpenID-аккаунт, но модуль не выполняет всех необходимых проверок протокола OpenID 2.0 и уязвим для некоторых атак, в частности:

  • OpenID следует проверить, что openid.response_nonc OpenID ещё не использовался
  • OpenID следует проверить значение openid.return_to полученное от провайдера
  • OpenID обязан проверить, что все поля требующие заполнения заполнены

  Нарушение этих требований позволяет позволяет сайтам злоумышленников получать положительные ответы от OpenID-провайдера и использовать их на сайтах использующих модуль OpenID для получения доступа к существующим аккаунтам использующим OpenID. Перехваченные ответы провайдера могут также быть изменены и использоваться для получения доступа к аккаунтам.

  В базу данных добавлена новая таблица — openid_nonce.

  

  Эта проблема затрагивает только Drupal 6 в который включен этот модуль. Для Drupal 5 смотрите страницу SA-CONTRIB-2010-084 - OpenID - Authentication bypass.

• Обход прав при загрузке файлов

  Модуль Upload позволяет пользователям загружать файлы и проверяет загрузку файла. Модуль ищет записи о загруженных файлах в базе данных и обслуживает их после проверки доступа. Однако, он не учитывает тот факт, что база данных может не различать названия файлов в разных регистрах и если злоумышленник загрузит файл, название которого отличается только регистром знаков, то ему будет предоставлен доступ на основе ранее загруженного файла.

  Эта проблема затрагивает Drupal 6 и Drupal 5.

• Обход прав публикации комментариев

  Модуль Comment позволяет пользователям добавлять комментарии к документам. Этот модуль поддерживает депубликацию комментариев более привилегированными пользователями, однако, пользователи с правом «публикация комментариев без проверки» могут обработать URL таким образом, чтобы опубликовать ранее депубликованный более привилегированным пользователем комментарий.

  Эта проблема затрагивает Drupal 6 и Drupal 5.

• Выполнение действий приводящих к XSS

  Модуль Trigger позволяет автоматически выполнять определённые действия при возникновении определённых событий. Пользователи могут настроить действия, которые будут автоматически выполняться при регистрации на сайте пользователя, сохранении документа и т.д., используя интерфейс сайта.

  Пользователи с правом «управление действиями» могут вводить для действий описания и выводимые сообщения, к которым применяется недостаточная фильтрация. Пользователи с правом добавления документов и терминов могут создать документы и термины, которые не будут должным образом обработаны и в сообщение действия может быть включён HTML-код или скрипт злоумышленника. Подобная XSS-атака может привести к получению злоумышленником административных прав.

  Эта проблема затрагивает Drupal 6.

Справочная информация

Drupal 6 включает модуль Update status, который автоматически получает информацию о важных обновлениях включенных на сайте модулей и тем, мы рекомендуем включить этот модуль. Кроме того, мы рекомендуем подписаться на рассылку выпускаемую командой безопасности. Вы также можете помочь в разработке Drupal, воспользовавшись лентой сообщений проекта и оставив в ней сообщение об обнаруженной ошибке.