Вышли новые версии друпал: Drupal 6.14 и Drupal 5.20 для исправления критических уязвимостей.
Обновление на новые версии настоятельно рекомендуется! В нём нет нового фунционала, подробнее об обновлениях читайте в анонсах drupal 6 и drupal 5.
Лог изменений
Полный список изменений к drupal 6.14 по сравнению с предыдущей версией. Список коммитов в cvs.
Полный список изменений к drupal 5.20 по сравнению с предыдущей версией. Список коммитов в cvs.
Критические уязвимости
SA-CORE-2009-008
Запустите обновление или скрипты патча (patch 5 или patch 6). Рекомендуется провести апгрейд, так как патч не включает некоторые фиксы.
Немного о самих уязвимостях:
1. Возможность подделка HTTP-запросовс OpenId в drupal 6 (недостаточно проработанная работа с FAPI).
2. Возможность входа через OpenId в drupal 6 от имени чужого пользователя (несоответствие спецификации OpenID Authentication 2.0).
3. Возможность загрузки exe-файлов через File Upload в drupal 6 (неправильная обработка некоторых расширений в File API, уязвимость возможна, если включена директива игнорировать .htaccess в папках).
4. Исправление в сессиях в drupal 5 (не обновляется ID сессии, когда пользователь заходит по ссылке подтверждения email или восстановления пароля, что даёт злодею использовать этот ID).
Примечания
Важно запустить update.php. Drupal 6.14 включает изменения к бд (добавлены индексы, и имзенены некоторые поля, чтобы вмещать данные, это например многострадальный watchdog, теперь там Text, а не varchar).
Эти релизы не имеют изменения к файлам .htaccess and robots.txt, так что можете оставить свои.
Файл (default.)settings.php содержит изменения в drupal 6, касательно “local issues”, если не понимаете в этом, не следует обновлять (тут надо поправить перевод).
Апдейт не обновляет кеш. При надобности делайте это вручную через админку “Производительность” или нажатием сабмит в списке модулей.
Drupal 6.14 первый стабильный резил который поддерживает PHP 5.3.0, но это не относиться к модулям. Следите за обновляениями ваших модулей.
