6 декабря 2007 в 5:07
5 декабря 2007 обнаружен риск SQL иньекции при работе некоторых дополнительных модулей. Данный риск (читай дыра) относится к ядру Друпала и определяется как критически опасный.
Код сообщения безопасности: SA-2007-031
Уязвимые версии:
- Drupal 4.7.x до версии Drupal 4.7.9
- Drupal 5.x до версии Drupal 5.4
Описание (исправленный перевод):
Некоторые функции напрямую вносят переменные в SQL запросы не используя перед тем каких либо промежуточных этапов или буферов. Один из модулей ядра сам проводит проверку переменных, поступающих аргументами в уязвимую функцию, т.е. это является слабым местом в ядре Друпала.
Некоторые дополнительные модули, такие как taxonomy_menu [
http://drupal.org/project/taxonomy_menu ], ajaxLoader [
http://drupal.org/project/ajaxloader ], и ubrowser [
http://drupal.org/project/uBrowser ], имеют ошыбки при проверке данных, введенных пользователем, разрешая таким образом атаки в виде SQL иньекций даже неавторизированным пользователям.
Больше информации о SQL иньекциях можно найти в статье [
http://en.wikipedia.org/wiki/SQL_injection ].
Решение проблемы:
Инсталлируйте новейшие версии:
- Если используется Drupal 4.7.x - обновите до Drupal 4.7.9 [
http://ftp.drupal.org/files/projects/drupal-4.7.9.tar.gz ]. - Если используется Drupal 5.x - обновите до Drupal 5.4 [
http://ftp.drupal.org/files/projects/drupal-5.4.tar.gz ].
Неплохую статью по обновлению можно найти в блоге моего почти полного тески Макса Кириленко: Мультисайтинг (многосайтовость), малый апгрейд Drupal
Если провести обновление немедленно является невозможным - можно использовать патч (латку) безопасности до того времени, пока не удастся провести обновление надлежащим образом.
- Патч для Drupal 4.7.8: SA-2007-031-4.7.8.patch [
http://drupal.org/files/sa-2007-031/SA-2007-031-4.7.8.patch ]. - Патч для Drupal 5.3: SA-2007-031-5.3.patch [
http://drupal.org/files/sa-2007-031/SA-2007-031-5.3.patch ].
Немного больше информации о новых весиях здесь: http://drupal.org/drupal-5.4
Выявлены также некоторые опасности для пользователей модулей Shoutbox и Feature. Проверьте страницы своих модулей на предмет обновлений.
Комментарии
Баги действительно неприятные, ключевые это таксономия и правильный подсчет пользователей.
в перевод добавилось 2 строки
msgid "- Please choose -"
msgstr "- Требуется выбор -"
#: modules/taxonomy/taxonomy.module:628
msgid "- None selected -"
msgstr "- Не выбрано -"
Че тоже воркаем ночью?
4бетту представил Габр, интересно ...
Я вчера вечером апдейты делал на старые версии. Ну пачиму!
Че за модуль такой,что бы как сдесь сверху на вводом коминтарием такая менюшка с картинкой,глазом,вот прям сверху! где вводишь коментарий?
shamaner, ночью иногда самое оно
ВВП, спасибо.
andron13, «Ну пачиму!» ггг )). Может это просто знак свыше потренироваться в апдейтах? ))
artem466, это BUEditor в заводской поставке.
Угу... уже до 5,5 обновляться надо... Даже в Жумле реже...
"The full list of changes in between the 5.4 and 5.5 releases can be found by reading the 5.5 release notes. A complete list of all bug fixes in the stable DRUPAL-5 branch can be found at http://drupal.org/project/cvs/3060/?branch=DRUPAL-5."
ну вот и версия 5.5 может еще пару дней подождать ?
таким образом плавно перейдем на 6.0
В БД изменений нет, т.что апгрейд дело пары минут - если конечно не модифицировали ядро или модули не клали в системную /modules.
модифицировали, помним где, правка JS. остальное побоку
делали бы они апдейт комплексными патчами... patch < тряляля на серве и все...
Так прилагаются патчи - см. выше. К каждой версии прилагают.
axel, а какая разница куда ложить модули? у меня всегда лежат в modules
Вопрос удобства. Удаляем папку со старыми исходниками сайта, оставляя только files и sites, копируем новые файлы, исключая sites. Не надо выковыривать из системной modules доп. модули.
На юниксе можно ещё так извратиться (использую метод на всех серверах, где требуется много вирт. хостов с друпалом):
При сменах версий движка: распаковываем скачанный архив в системную директорию (например получаем /opt/drupal-5.5), перелинковываем одну ссылку (rm drupal-5 && ln -s drupal-5.5 drupal-5 && rm -Rf drupal-5.4) - апгрейд сделан для всех вирт. хостов (разумеется на каждом надо запустить update.php если требуется апгрейд базы).
на самом деле тоже самое.. сперва отключаем сторонние модули, потом удаляем всё, кроме files, потом заливаем новый движок, апдейтим, потом кидаем в системную modules сторонние модули и всё.. при обновлении вроде 5,3 до 5,4 вообще просто поверх новую версию заливаем и запускаем апдейт.. а ваще действительно пофигу
Что - нибудь глобально изменилось?
Или стоит оставить старую версию?
Устранили XSS-уязвимость. Это вопрос безопасности - вам решать.
Не большое замечание: Вообще то это хуже чем обычный xss! Все же sql-injection! Я пропатчил!