Les noves versions de Drupal, versió 7.24 i versió 6.29, que l’equip de desenvolupament de Drupal van treure el passat 20 de novembre corregeixen moltes vulnerabilitats de versions anteriors catalogades pel mateix equip com “altament crítiques” al ser remotament explotables i sense interacció amb l’usuari.
- Entre les vulnerabilitats esmenades destaquem les següents:
- Múltiples errors en la validació contra atacs CSRF en la API de formularis que podrien permetre l’execució de funcions no segures.
- Diverses fallades en la funció mt_rand() que podrien generar nombres pseudoaleatorios predictibles. Aquesta funció és usada en múltiples mòduls del nucli de Drupal.
- Alguns camps de descripció d’imatges no estaven correctament sanejats en el mòdul Image podent realitzar-se un atac XSS.
- Falta de comprovació de valors també en el mòdul Color que podria ser aprofitat per realitzar un atac XSS no persistent.
- Error de validació de URLs en el mòdul Overlay usat en el panell d’administració que podria permetre una redirecció HTTP no desitjada.
- També s’ha corregit un salt de restriccions de seguretat en la funció drupal_valid_token() a través d’un token que no sigui de tipus cadena i una altra fallada de configuració en els arxius ‘.htaccess’ proporcionats per Drupal que podria ser aprofitat per un atacant remot per executar codi arbitrari
Per aquest motiu és important que us actualizeu els Drupal instal.lats a aquestes darreres versions. Recordem que és convenient també tenir actualitzats tots els plugins i temes que utilitzem al nostre CMS.
Bon dia, a l’inici de la notícia , cada versió té un enllaç que porta directament a la pàgina de Drupal per poder descarregar-la.
Salutacions cordials
D’es d’on em descarrego la nova versió de Drupal?