Вышло обновление Drupal 7.26 и 6.30

01/21/2014 - 18:15

Вышло обновление Drupal 7.26 и 6.30, которое исправляет серьезные уязвимости безопасности, в связи с чем рекомендуется в срочном порядке установить обновление. Обновление закрывает две серьезные проблемы безопасности, сообщающие в SA-CORE-2014-001.

Устранены следующие проблемы:

  • Возможность рабты от имени другого пользователя в модуле OpenID, Drupal 6 и 7 (Высокий уровень опасности). Проблема заключается в том, что злоумышленник может войти в систему от имени другого пользователя, с последующим уводом аккаунта от настоящего владельца. Данная проблема смягчается тем фактом, что злоумышленник должен иметь аккаунт в системе, или возможность его создать, а аккаунт жртвы должен быть привязан к OpenID аккаунту.
  • Обход ограничений системы контроля прав доступа в модуле Таксономии, Drupal 7 (Средний уровень опасности). Модуль таксономии выводит список материалов, содержащих определенный термин. Сторонние модули также могут выводить эту-же информацию. В некоторых случаях может случиться так, что будет выведен неопубликованный материал, доступа к которому пользователь не должен иметь.

Помимо исправления проблем безопасности, в данном обновлении содержится изменение Form API, позволяющее повысить общую защищеннось сайта.

Form API Drupal предоставляет программистам возможность потправки данных формы программно. До данного момента, в процессе отправки данных формы система не производила проверок прав доступа пользователя, чего в большинстве случаев и не требуется. Данное обновление вводит новый параметр $form_state['programmed_bypass_access_check'], передаваемый в функцию drupal_form_submit(). Установка данного параметра в значение FALSE, принуждает систему учитывать права доступа пользователя к данным формы.

Теги: 

Добавить комментарий

You must have Javascript enabled to use this form.