Ieri è uscita una nuova release di Drupal, la 6.13 e la 5.13, a causa di un grosso problema di sicurezza in alcune parti del core. Aggiornare appena possibile la propria versione è la prima cosa da fare quando avete un po' di tempo libero. Nel post l'annuncio completo.

Uno dei moduli più utilizzati, Views, insieme ad un modulo di minore utilizzo, Services, sono stati oggi oggetto di due advisory di sicurezza a causa di gravi bug.

SecubObs, uno dei tanti portali dedicati alla segnalazione di bug e problemi di sicurezza, ha rilasciato oggi due advisory:

Drupal Mailhandler Module Unspecified SQL Injection

Drupal Mailsave Module MIME Type Script Insertion

Mentre il  French Security Incident Response Team ha rilasciato due security advisory

Talk for Drupal Cross Site Scripting and Security Bypass Issues

Answers Module for Drupal Cross Site Scripting Vulnerability

Causa dell'uscita della nuova versione è la scoperta di alcuni bug di sicurezza non facilmente sfruttabili, ma di sicuro pericolo:

• Cross site scripting
• Cross site request forgeries
• Session fixation
• Sql injection

Sono disponibili le patch per la versione 5.x e per la 6.x.

Io per la mia versione di Drupal ho eseguito questo comando:

patch -p0 < SA-2008-044-5.7.patch

dopo aver scaricato il file della patch ovviamente.

Per maggiori informazioni vi rimando all'annuncio ufficiale.

Il bug trovato permette di effettuare quella che in gergo tecnico si chiama Privilege Escalation ovverro riuscire ad ottenere piu' poteri di quelli che se ne hanno in realtà.

In questo caso specifico l'utente puo' riuscire persino a diventare admin del sito web, il tutto grazie alle sessioni.

E' consigliato un upgrade alla versione 1.8 per la release di Drupal 5.x, e alla 1.1 per Drupal 6.x.