Ho girato un po sul web per cercare come meglio effettuare un aggiornamento sulla sicurezza per Drupal 6 riguardo questi bug: SA-CORE-2011-001 - Drupal core - Multiple vulnerabilities
- A reflected cross site scripting vulnerability was discovered in Drupal's error handler
- When using re-colorable themes, color inputs are not sanitized. Malicious color values can be used to insert arbitrary CSS and script code.
Ora, secondo me se si tratta di sovrascrivere un modulo come ad esempio views_bulk 1.10 Fix vulnerability allowing anonymous users to gain access to user admin screen per me va bene perchè non ho mai personalizzato quel modulo e comunque non incide sul tutto il sito e/o i miei siti.
Ma il problema è questo: ho creato dei moduli con D6.18 e ho notanto, tempo fa che con D.6.20 non mi girano delle funzioni di mysql, per questo sono dubbiosa ad aggiornare tutto il core.
Dove è possibile trovare una patch che aggiorna solo il modulo user in modo da evitare il cross site scripting ?
Ciao Danzi, ti rispondo, ma premetto che non ho la soluzione e voglio solo darti una mia opinione.
Non capisco niente di creazione moduli, ma da quello che ho visto durante l' aggiornamento alla 6.22, ricordo che viene fatta una modifica alla tabella color (o qualcosa del genere) che è quella che è responsabile dei problemi di sicurezza, se si utilizza un tema che ha la possibilità di modificare i colori del tema.
Ma, secondo il mio modesto parere, non è il tuo l' approccio giusto. Quello che devi risolvere sono i moduli da te sviluppati perchè penso che sarebbe un grave errore non poter aggiornare il core a causa dei moduli (che probabilmente non funzionano più proprio perchè con gli aggiornamenti sono state modificate tabelle su cui si appoggiano i moduli).
Ciao,
ti spiego: ho fatto un generatore di codice php e query mysql-postgres che date le tabelle di drupal in una casella a discesa genera il codice php senza che io debba preoccuparmi di scrivere righe e righe di codice omettendo qualcosa o sbagliando i nomi dei campi del db. Praticamente mi rende facile il lavoro di programmazione e il risultato, ad esempio, è l'elenco delle pagine sul mio sito.
Bene, in questo generatore di codice ho utilizzato delle funzioni mysql che nella versione d6.18 non danno problemi mentre nella versione d6.20 mi dà errore di oggetto non impostato.
Il codice è ($table_no_prefix è passata in POST da un form)
$res = db_query("SELECT * FROM {%s};", $table_no_prefix);
if ($isPostg) $numfields = pg_num_fields($res);
if ($isMysql) $numfields = mysql_num_fields($res);
Sapresti dirmi quale funzione utilizza drupal nelle sue API per avere il numero dei campi di una tabella?
Oppure, qual'è la corrispondenza in drupalese del codice:
if ($isPostg) $fieldname = pg_field_name($res, $j);
if ($isPostg) $fieldtype = pg_field_type($res, $j);
if ($isMysql) $fieldname = mysql_field_name($res, $j);
if ($isMysql) $fieldtype = mysql_field_type($res, $j);
Fammi sapere e grazie per la risposta.
Un ultima cosa, il problema della sicurezza in Drupal consiste in un injection url a quanto ho letto questo pomeriggio, che riguarda solo determinati moduli con determinati permessi.
Troppo complicato per me, Danzi.
Ho fatto una ricerca al volo che mi ha portato ad una pagina che tu saprai decifrare meglio e forse può esserti utile
http://api.drupal.org/api/drupal/includes--database.inc/group/schemaapi/6
Gli ultimi problemi di sicurezza di Drupal che hai letto sono quì
http://drupal.org/node/1168756
In fase di update alla 6.22, l' unica cosa che ho notato è il messaggio di creazione di un nuovo campo sulla tabella color (mi sembra).
Ciao.
Comunque non è così facile entrare in un CMS Drupal se le impostazioni e configurazioni sono ben fatte: permessi, filtri input e controllo sessioni, chaptca.
http://www.slideshare.net/fourkitchens/is-drupal-secure
Ciao
Correggo un errore.
Drupal 6.22 non modifica la tabella color (che non esiste) ma fa l' update di un modulo color (se esiste).
E' comunque un dato di fatto che con Drupal 6.20, nel mio sito, si cercavano di eseguire sempre più spesso script php, da tutte le parti. Ho dovuto bloccare un IP che mi eseguiva lo stesso script esattamente ogni ora e 10 minuti.
Con la 6.22 gli script sono cessati.
Ciao.