Drupal 6.6 e 5.12: nuovi aggiornamenti di sicurezza
Venerdì 24 Ottobre 2008 - 15:14
di Claudio Garau
Continuano i rilasci di aggiornamenti di sicurezza per Drupal, a poche settimane dagli upgrade 6.5 e 5.11 sono ora disponibili le versioni 6.6 e 5.12, appositamente realizzate per riparare alcune vulnerabilità (anche gravi) rilevate nelle release precedenti.
Le falle risolte con gli aggiornamenti sono state definite di livello critico, quindi è fortemente raccomandato il passaggio alle nuove versioni.
Una lettura dell’official security advisory relativamente alle versioni 6.6 e 5.12 basta a rendere l’idea della gravità dei problemi riscontrati; tra di essi è necessario sottolinearne in particole due perché affliggano lo stesso core dell’applicazione:
- la prima riguarda un bug relativo a pericoli derivanti all’inclusione di file: in un server configurato per virtual hosts IP-based Drupal (sia nella versione 6 che nella 5) può causare l’inclusione e l’esecuzione di file posti al di fuori della root directory;
- la seconda, espone la piattaforma e i dati gestiti al pericolo di Cross Site Scripting, ciò accade a causa di un difetto nell’escaping dei titoli delle book pages che consentirebbe l’inserimento di codice HTML arbitrario all’interno delle pagine.
Entrambi i problemi non sono da sottovalutare, se il primo consente l’esecuzione di codice malevolo il secondo spiana la strada agli attaccanti e permette loro di assicurarsi privilegi da amministratore.
È quindi necessario scaricare le nuove versioni il prima possibile; nello stesso tempo è bene tenersi quanto più possibile aggiornati sugli eventi che riguardano Drupal, i continui update di sicurezza delle ultime settimane suggeriscono cautela.