Drupal 6.10 és az 5.16

PHP

A mai napon jelentették be a Drupal.org-on a következő verziókat a 6.x (sorrendben a 6.10) és 5.x (sorrendben a 5.16) sorozatból, amelyek csak hibajavításokat (bugfix) és egy meglehetősen kritikus (Highly Critical) távolról kihasználható (remotely exploitable) sebezhetőség felszámolására vonatkozó javítást (security fix) tartalmaznak.

A frissítés erősen javasolt minden Drupalt üzemeltető felhasználónak, különösen a Windows platformon futó Drupal alkalmazások esetében!

SA-CORE-2009-003 - Local file inclusion on Windows

A szóban forgó hiba kihasználásával, bármely Windows platformon futó webszerver használata mellett, a támadó távolról képes tetszőleges PHP kód futtatására. A hiba oka, amelyet Bogdan Calin jelentett a Drupal Biztonsági Csapatnak (Drupal Security Team), hogy a Drupal nem veszi figyelembe a Windows platformspecifikus szabályrendszerét a kanonikus útvonalak létrehozásakor a smink alrendszerben.

A smink alrendszer bizonyos URL paramétereket felhasznál a felhasznált sablonfájlok kiválasztásakor, amely a nem megfelelő útvonalkezelés miatt lehetőséget adhat a támadónak tetszőleges PHP file meghívására.

Figyelem! A támadónak lehetősége van filefeltöltés engedélyezése nélkül is PHP kódot végrehajtania az ez által a hiba által érintett platformokon a webszerver logjaiba távolról bejuttatott kódokkal.

A bejelentés és a változások naplója 6.10-hez és 5.16-hoz elérhetőek a drupal.org-on.