HomeForumGeneraleNotizie e segnalazioni.

Security update - Drupal 4.7.9 e 5.4

Ainur

Posts: 74
 Iscritto il: 14 Dic 06
permalink Inserito da Ainur il Gio, 2007/12/06 - 01:19

Drupal 5.4 e 4.7.9 contengono bugfixes "moderatamente critici".

La Funzione taxonomyg_select_nodes() inserisce variabili direttamente nella query SQL senza passarli ai classici placeholders, mentre il modulo taxonomy controlla l'input passato a taxonomy_select_nodes(), eventualmente pulendolo.

Questo è un punto debole del coreg di Drupal. Drupal andrà quindi aggiornato o il file taxonomy.module sostituito nel caso non sia possibile aggiornare.

Alcuni moduli aggintivi come taxonomy_menu (http://drupal.org/project/taxonomy_menu), ajaxLoader (
http://drupal.org/project/ajaxloader) e ubrowser (http://drupal.org/project/uBrowser ) passano l’input direttamente a taxonomy_select_nodes() cioè permette agli utenti anonimi di effettuare SQL injection.

Eccol le versioni aggiornate e corrette.

__________________

Gross Design Studio – drupal web agency


D4rKr0W@darkrow.net

Posts: 65
 Iscritto il: 18 Gen 07
permalink Gio, 2007/12/06 - 04:23

Grazie della segnalazione!

__________________

--
darkrow.net, il mio blogg.
3vso.net, la communityg degli studenti di Treviso.


Psicomante

Posts: 1022
 Iscritto il: 24 Apr 05
Admin di Drupal ItaliaModeratore di Drupal ItaliaRedattore di Drupal Italia. Contribuisco a manualiTraduttore
permalink Gio, 2007/12/06 - 15:58

Inserito come stickie (fisso in cima) in prima pagina. Grazie Ainur Eye-wink

__________________

Multi-blog sociale
il Drupal Blog di Psicomante


Uccio

Posts: 434
 Iscritto il: 21 Maggio 05
Admin di Drupal ItaliaSviluppatore DrupalDrupal Monkey. Mangio moduli e API a colazioneRedattore di Drupal Italia. Contribuisco a manualiTraduttore
permalink Gio, 2007/12/06 - 18:14

Per un upgrade rapido ed indolore si può aggiornare il solo modulo taxonomyg visto che la patch coninvolge solo questo file!

Ciao

PS: Correggetemi se sbaglio:

__________________

Uccio


Ainur

Posts: 74
 Iscritto il: 14 Dic 06
permalink Gio, 2007/12/06 - 18:48

Uccio, non ti lo so dire, loro (su drupal.org) consigliano (sempre) di fare upgrade completo, anzi che usare patch, perche patch non contengono bugfix addizionali (We recommend you do the full upgrade as the patches do not contain the many additional bugfixes that went into the releases. Applying the patches will leave your site in a somewhat unversioned state, but at least secure.).

Psicomante, prego Smiling

__________________

Gross Design Studio – drupal web agency


larrygiu
Posts: 4
 Iscritto il: 15 Nov 07
permalink Gio, 2007/12/06 - 20:47

Ciao a tutti,
come si usa quella patch del modulo taxonomyg?


Uccio

Posts: 434
 Iscritto il: 21 Maggio 05
Admin di Drupal ItaliaSviluppatore DrupalDrupal Monkey. Mangio moduli e API a colazioneRedattore di Drupal Italia. Contribuisco a manualiTraduttore
permalink Sab, 2007/12/08 - 16:55

Ciao

Hai 2 possibilità

1 Prendi la versione 5.4 estrai il taxonomyg.module e lo rimpiazzi sul tuo sito
2 applichi la patch con programmi appositi (vedi shel linux o Eclipse)

Ciao

PS: é uscita la versione 5.5 usa quella!!

__________________

Uccio


Condividi contenuti