Uno dei moduli più utilizzati, Views, insieme ad un modulo di minore utilizzo, Services, sono stati oggi oggetto di due advisory di sicurezza a causa di gravi bug.

Per il modulo Views (http://drupal.org/project/views) potete leggere l'advisory all'url http://drupal.org/node/348321: si tratta di un possibile attacco di media entità, ma sfruttabile da remoto che puo' essere "tentato" solamente se si sta utilizando una "vista" su un campo CCK utilizzato anche come filtro modificabile dall'utente (exposed filter). In questo caso l'errore è un non controllo dei dati passati tramite CCK. Il problema è per la versione 2.x del modulo, quella dedicata a Drupal 6, e non invece per la versione 1.x, dedicata a Drupal 5.

Per il modulo Services (http://drupal.org/project/services) potete leggere l'advisory all'url http://drupal.org/node/348295: si tratta anche in questo caso di un attacco di tipo remoto, ma per questo modulo è molto piu' grave l'entita essendo il suo scopo quello di esternalizzare verso internet funzioni interne di Drupal. A differenza del problema che affligeva solamente la versione per Drupal 6 di Views, in questo caso anche la versione del modulo Services per Drupal 5 ha lo stesso problema, ed è quindi consigliabile la sua sostituzione con l'ultima uscita.

Nessuno dei due moduli ha una patch da applicare alla versione gia' in uso quindi è necessario scaricare il pacchetto completo del modulo e poi scompattarlo come se fosse la prima volta. Dopo l'upgrade dei moduli è sempre consigliabile entrare come super administrator (il primo utente che si è creati al momento dell'installazione) ed effettuare un update del sistema (http://www.miosito.com/?q=update.php) .