Вышло обновление Drupal 7.26 и 6.30

01/21/2014 - 18:15

Вышло обновление Drupal 7.26 и 6.30, которое исправляет серьезные уязвимости безопасности, в связи с чем рекомендуется в срочном порядке установить обновление. Обновление закрывает две серьезные проблемы безопасности, сообщающие в SA-CORE-2014-001.

Устранены следующие проблемы:

  • Возможность рабты от имени другого пользователя в модуле OpenID, Drupal 6 и 7 (Высокий уровень опасности). Проблема заключается в том, что злоумышленник может войти в систему от имени другого пользователя, с последующим уводом аккаунта от настоящего владельца. Данная проблема смягчается тем фактом, что злоумышленник должен иметь аккаунт в системе, или возможность его создать, а аккаунт жртвы должен быть привязан к OpenID аккаунту.
  • Обход ограничений системы контроля прав доступа в модуле Таксономии, Drupal 7 (Средний уровень опасности). Модуль таксономии выводит список материалов, содержащих определенный термин. Сторонние модули также могут выводить эту-же информацию. В некоторых случаях может случиться так, что будет выведен неопубликованный материал, доступа к которому пользователь не должен иметь.

Помимо исправления проблем безопасности, в данном обновлении содержится изменение Form API, позволяющее повысить общую защищеннось сайта.

Form API Drupal предоставляет программистам возможность потправки данных формы программно. До данного момента, в процессе отправки данных формы система не производила проверок прав доступа пользователя, чего в большинстве случаев и не требуется. Данное обновление вводит новый параметр $form_state['programmed_bypass_access_check'], передаваемый в функцию drupal_form_submit(). Установка данного параметра в значение FALSE, принуждает систему учитывать права доступа пользователя к данным формы.

Теги: 

Добавить комментарий

Filtered HTML

  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Разрешённые HTML-теги: <a> <s> <u> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <hr> <dd> <sub> <sup>
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Защита от СПАМ ботов. Подтвердите, пожалуйста, что вы человек.