Rilasciati Drupal 6.11 e 5.17
Martedì 5 Maggio 2009 - 10:28
di massimo.giagnoni
Sono state rilasciati pacchetti per l’aggiornamento di Drupal alle versioni 6.11 e 5.17. Le nuove versioni correggono una importante vulnerabilità critica per la sicurezza che può consentire in determinate circostanze attacchi “cross-site scripting”.
Tralasciando i dettagli tecnici (disponibili nell’annuncio ufficiale per chi è interessato), la vulnerabilità consente ad un utente che sia autorizzato all’inserimento di contenuti, la possibilità di includere ed eseguire nel sito codice JavaScript potenzialmente dannoso.
L’origine del problema è un bug presente in Internet Explorer 6 e 7 che causa una errata decodifica di alcuni caratteri speciali.
Un’altra correzione riguarda una vulnerabilità di portata più limitata che consente di condurre un attacco CSRF (”cross-site request forgery”) contro un form presente in prima pagina (non il form di login che è sicuro).
Per chi non potesse effettuare sollecitamente l’aggiornamento si consiglia di modificare i file “page.tpl.php” presente nella cartella dei propri temi spostando la linea
<?php print $head?>
immediatamente dopo il tag <HEAD> prima della linea che contiene il tag <TITLE>.
Commenti
1
Premetto che non conosco Drupoal ma che vorrei avvicinarmi, chiedo come mai esistono 2 versioni; da quello che leggo: 6.11 e 5.17. Nel caso volessi installarlo, secondo la vs. esperinza, quale mi consigliereste di scaricare e perchè?
Grazie
Floyd
2
Drupal 5 è la versione precedente che viene ancora supportata ed è utilizzata da chi non ha ancora voluto o potuto passare a Drupal 6. Se parti adesso ti conviene installare e provare la versione 6.11.
# - postato da Massimo Giagnoni - 06 Maggio 2009 - 19:11
3
Grazie Massimo, ne terrò conto.
4
Ho letto che è in previsione l’uscita della nuova versione 7 di drupal. Secondo voi quando potrà essere disponibile? grazie
# - postato da pietro - 12 Maggio 2009 - 10:18
5
non ricordo quando potrà essere disponibile, mi pareva verso fine anno ma comunque poi devi aspettare che i moduli più importanti vengano aggiornati e passano altri mesi, è come per i sistemi operativi…non dico che bisogni aspettare almeno un anno dall’uscita per usare drupal 7 per siti di lavoro ma il concetto ci va vicino. Usate la 6 tranquillamente ancora per molti mesi.
# - postato da Bestia - 12 Maggio 2009 - 10:36
6
grazie BESTIA, 6 stato molto gentile.