Security update - Drupal 4.7.9 e 5.4
Drupal 5.4 e 4.7.9 contengono bugfixes "moderatamente critici".
La Funzione taxonomy_select_nodes() inserisce variabili direttamente nella query SQL senza passarli ai classici placeholders, mentre il modulo taxonomy controlla l'input passato a taxonomy_select_nodes(), eventualmente pulendolo.
Questo è un punto debole del core di Drupal. Drupal andrà quindi aggiornato o il file taxonomy.module sostituito nel caso non sia possibile aggiornare.
Alcuni moduli aggintivi come taxonomy_menu (http://drupal.org/project/taxonomy_menu), ajaxLoader (
http://drupal.org/project/ajaxloader) e ubrowser (http://drupal.org/project/uBrowser ) passano l’input direttamente a taxonomy_select_nodes() cioè permette agli utenti anonimi di effettuare SQL injection.
Eccol le versioni aggiornate e corrette.
- Accedi o registrati per inserire commenti.
Grazie della segnalazione!
Inserito come stickie (fisso in cima) in prima pagina. Grazie Ainur ;)
--
Drupal e Siti Web Torino
Blog: Computer Graphics
Per un upgrade rapido ed indolore si può aggiornare il solo modulo taxonomy visto che la patch coninvolge solo questo file!
Ciao
PS: Correggetemi se sbaglio:
Uccio
Il mio sito con drupal
Uccio, non ti lo so dire, loro (su drupal.org) consigliano (sempre) di fare upgrade completo, anzi che usare patch, perche patch non contengono bugfix addizionali (We recommend you do the full upgrade as the patches do not contain the many additional bugfixes that went into the releases. Applying the patches will leave your site in a somewhat unversioned state, but at least secure.).
Psicomante, prego :)
Ciao a tutti,
come si usa quella patch del modulo taxonomy?
Ciao
Hai 2 possibilità
1 Prendi la versione 5.4 estrai il taxonomy.module e lo rimpiazzi sul tuo sito
2 applichi la patch con programmi appositi (vedi shel linux o Eclipse)
Ciao
PS: é uscita la versione 5.5 usa quella!!
Uccio
Il mio sito con drupal