Fontos frissítés érkezett a Drupalhoz

A Drupal nagyon fontos biztonsági hibajavításokat kapott, amiket mihamarabb célszerű telepíteni. Eközben a Drupal 6 elbúcsúzott.
 

A Drupal 6-os, 7-es és 8-as verziói kritikus veszélyességű sebezhetőségektől szabadíthatók meg a legutóbbi frissítésnek köszönhetően. A legtöbb javítást a Drupal 6 kapta, amelynek kapcsán fontos megjegyezni, hogy február 24-én megszűnt a támogatása, így több ingyenes frissítést előre láthatólag már nem fog kapni. Ugyanakkor a fejlesztők jelezték, hogy továbbra is együttműködnek néhány céggel annak érdekében, hogy a Drupal 6 LTS verziója ezentúl se szenvedjen csorbát a patch-elések tekintetében. Viszont e támogatási forma elsősorban azok számára marad alternatíva, akik hajlandóak lesznek fizetni a kiterjesztett támogatásért.
 
A bejelentett sebezhetőségek közül a legveszélyesebb a Drupal 6-ban helyet kapó Form API-t érinti. A biztonsági rés kihasználásával a támadók adminisztrátori jogokhoz kötött vezérlőkkel is visszaélhetnek. A gyakorlatban ez azt jelenti, hogy ha egy webes űrlapot a felhasználók és az adminisztrátorok eltérő módon használhatnak, akkor a támadó a nagyobb jogosultsági szintnek megfelelően kezelheti az űrlapot. Emellett szintén súlyos hibát tartalmaz a 6-os verzió a HTTP fejlécek kezelését illetőleg, ami fejlécek manipulálására ad módot. Továbbá a Blog API is sebezhető.
 
Az újabb Drupal kiadásokat érintő sérülékenységek listája is tartalmaz kritikus hibákat. Ezek közül kiemelendő a File modulban feltárt biztonsági rés, ami jogosulatlan fájlműveletekre adhat lehetőséget azon támadók számára, akik legalább minimális tartalomkezelési jogosultságokkal rendelkeznek. Mindez adatlopásra is módot adhat. Sőt egyes esetekben blokkolhatóvá teheti az adott webhelyre történő feltöltéseket, ami végül szolgáltatásmegtagadási problémákat idézhet elő.
 
A fenti sérülékenységek a Drupal 6.38, 7.43 és 8.0.4 verziókra történő frissítésével orvosolhatók.