Вышло обновление Drupal 7.26 и 6.30, которое исправляет серьезные уязвимости безопасности, в связи с чем рекомендуется в срочном порядке установить обновление. Обновление закрывает две серьезные проблемы безопасности, сообщающие в SA-CORE-2014-001.
Устранены следующие проблемы:
- Возможность рабты от имени другого пользователя в модуле OpenID, Drupal 6 и 7 (Высокий уровень опасности). Проблема заключается в том, что злоумышленник может войти в систему от имени другого пользователя, с последующим уводом аккаунта от настоящего владельца. Данная проблема смягчается тем фактом, что злоумышленник должен иметь аккаунт в системе, или возможность его создать, а аккаунт жртвы должен быть привязан к OpenID аккаунту.
- Обход ограничений системы контроля прав доступа в модуле Таксономии, Drupal 7 (Средний уровень опасности). Модуль таксономии выводит список материалов, содержащих определенный термин. Сторонние модули также могут выводить эту-же информацию. В некоторых случаях может случиться так, что будет выведен неопубликованный материал, доступа к которому пользователь не должен иметь.
Помимо исправления проблем безопасности, в данном обновлении содержится изменение Form API, позволяющее повысить общую защищеннось сайта.
Form API Drupal предоставляет программистам возможность потправки данных формы программно. До данного момента, в процессе отправки данных формы система не производила проверок прав доступа пользователя, чего в большинстве случаев и не требуется. Данное обновление вводит новый параметр $form_state['programmed_bypass_access_check'], передаваемый в функцию drupal_form_submit(). Установка данного параметра в значение FALSE, принуждает систему учитывать права доступа пользователя к данным формы.
Добавить комментарий