Ieri è uscita una nuova release di Drupal, la 6.13 e la 5.13, a causa di un grosso problema di sicurezza in alcune parti del core. Aggiornare appena possibile la propria versione è la prima cosa da fare quando avete un po' di tempo libero. Nel post l'annuncio completo.

Se usate uno di questi due tre moduli, oppure entrambi tutti e tre, correte subito ad aggiornare la versione in uso sul vostro portale Druapal. E non dite che non vi avevo avvisato.

Senza entrare troppo nel dettagli vi segnalo gli ultimi security announce dedicati ad alcuni moduli di Drupal che potreste utilizzare all'interno del vostro sito web.

E' disponibile la nuova versione di Drupal, questa volta solamente per la versione 6.x. Nessuna nuova funzionalità, solamente la risoluzione di un bug di sicurezza.

Uno dei moduli più utilizzati, Views, insieme ad un modulo di minore utilizzo, Services, sono stati oggi oggetto di due advisory di sicurezza a causa di gravi bug.

Come detto nel cappello introduttivo, le nuove versioni di Drupal, la 5.11 e 6.5, sono disponibili per il download, sia in versione completa (pacchetto .tar.gz) sia in versione patch (io ho usato questa per patchare zio*.net). I problemi rigurdano le funzionalità di upload dei file, blog, regole di accesso e validazione del nove.

A questo link trovate maggiori informazioni.

SecubObs, uno dei tanti portali dedicati alla segnalazione di bug e problemi di sicurezza, ha rilasciato oggi due advisory:

Drupal Mailhandler Module Unspecified SQL Injection

Drupal Mailsave Module MIME Type Script Insertion

Mentre il  French Security Incident Response Team ha rilasciato due security advisory

Talk for Drupal Cross Site Scripting and Security Bypass Issues

Answers Module for Drupal Cross Site Scripting Vulnerability

Causa dell'uscita della nuova versione è la scoperta di alcuni bug di sicurezza non facilmente sfruttabili, ma di sicuro pericolo:

• Cross site scripting
• Cross site request forgeries
• Session fixation
• Sql injection

Sono disponibili le patch per la versione 5.x e per la 6.x.

Io per la mia versione di Drupal ho eseguito questo comando:

patch -p0 < SA-2008-044-5.7.patch

dopo aver scaricato il file della patch ovviamente.

Per maggiori informazioni vi rimando all'annuncio ufficiale.

Il bug trovato permette di effettuare quella che in gergo tecnico si chiama Privilege Escalation ovverro riuscire ad ottenere piu' poteri di quelli che se ne hanno in realtà.

In questo caso specifico l'utente puo' riuscire persino a diventare admin del sito web, il tutto grazie alle sessioni.

E' consigliato un upgrade alla versione 1.8 per la release di Drupal 5.x, e alla 1.1 per Drupal 6.x.