Загрузка файлов, обход правил доступа

Ошибка позволяет пользователям без соответствующих прав прикреплять файлы к типам содержимого. Уязвимость касается только Drupal 6.x

Пользователи могут просматривать файлы, прикрепленные к содержимому к которому у них нет прав доступа. Уязвимость касается только Drupal 5.x

Обход прав доступа

Утечка позволяет пользователям заблокированным по правам доступа заходить на сайт под определенными условиями.

Если вы не используете «access rules» модуль, ваш сайт безопасен.

Уязвимость касается Drupal 5.x и Drupal 6.x

Обход прав доступа Blogapi

BlogAPI модуль не осуществляет должную проверку определенных полей типов материала, позволяя заполнять поля, которые не доступны для заполнения. Комьюнити исправило эту уязвимость, но считает что право доступа «Administer content with BlogAPI» может быть дано только проверенным пользователям.

Если модуль ядра BlogAPI не включен, ваш сайт безопасен.

Обход проверки node

Уязвимость в API node.moule [http://api.drupal.org/api/function/hook_nodeapi] при некоторых обстоятельствах позволяет обходить проверку в сторонних модулях использующих hook_ nodeapi. Эта уязвимость касается сайтов использующих один из небольшого количества модулей.

Уязвимость касается только Drupal 5.x

Скачать Drupal 5.11 [http://ftp.drupal.org/files/projects/drupal-5.11.tar.gz ].

Скачать Drupal 6.5 [http://ftp.drupal.org/files/projects/drupal-6.5.tar.gz ].

Примечание: settings.php, robots.txt и .htaccess не были изменены и могут быть оставлены нетронутыми.

Если у вас нет возможности обновится, используйте эти патчи, которые исправляют только критические уязвимости

* To patch Drupal 5.10 use SA-2008-060-5.10.patch [
http://drupal.org/files/sa-2008-060/SA-2008-060-5.10.patch ].

* To patch Drupal 6.4 use SA-2008-047-6.4.patch [
http://drupal.org/files/sa-2008-060/SA-2008-060-6.4.patch ].

п.с. прошу прощение за корявый перевод.