Drupal 7.34 e 6.34

Il team di sviluppo del noto CMS Open Source ha recentemente reso disponibili Drupal 7.34 e Drupal 6.34, sono stati così (nuovamente e simultaneamente) aggiornati i due rami del progetto attualmente supportati in via ufficiale dalla community; sostanzialmente si tratta di due maintenance release che però contengono anche delle correzioni per la rimozione di vulnerabilità che avrebbero potuto compromettere il livello di sicurezza dell'applicazione.

Anche questa volta l'aggiornamento agli ultimi rilasci è fortemente consigliato per le installazioni in fase di produzione, gli sviluppatori di Drupal hanno reso disponibili queste due nuove versioni associandole all'ormai consueta segnalazione che riporta "There are no new features or non-security-related bug fixes in these releases"; per cui gli update non prevedrebbero alcuna funzionalità addizionale e potrebbero essere classificati entrambi come "security release only".

Per quanto riguarda le problematiche che hanno motivato tali interventi, sia il ramo 7 che la serie 6 sarebbero state interessate dalla medesima tipologia di vulnerabilità multipla (riportata nel SA-CORE-2014-006) e classificata come a moderato livello di criticità; nessuna delle modifiche effettuato avrebbe coinvolto i file .htaccess, web.config, robots.txt e settings.php, motivo per il quale non sarà necessario aggiornare eventuali versioni personalizzate di questi ultimi.

Sia le precedenti versioni di Drupal 7 che di Drupal 6 sarebbero state esposte ad un pericolo di Session hijacking; in pratica, attraverso la falla rilevata un utente avrebbe potuto ottenere l'accesso alla sessioni di un altro user tramite una richiesta appositamente confezionata. Un problematica a carico della password hashing API sarebbe stata riscontrata invece soltanto nel ramo 7 e, se opportunamente sfruttata, avrebbe potuto dar luogo ad attacchi basi sul Denial of service con esaurimento delle risorse di CPU e memoria.

Via Drupal