Není tomu tak dlouho, co se objevila kritická chyba v zabezpečení Drupalu i WordPressu, a máme tu další opravu z podobného soudku. Nyní se týká jenom Drupalu a její instalaci byste neměli odkládat. Problém je označen jako vysoce kritický.

Oč přesně jde? Bezpečnostní zpráva DRUPAL-SA-CORE-2014-005 hovoří o vysoce kritické zranitelnosti v podobě SQL injektáže. Jádro Drupalu 7 obsahuje databázové API zajišťující, že dotazy do databáze jsou odpovídajícím způsobem sanovány, aby k SQL injektáži nemohlo dojít. Objevila se nicméně chyba, která tuto úpravu dovede obejít.

Označení problému za vysoce kritický je způsobeno tím, že bezpečnostní mechanismus může s potřebnou znalostí obejít i anonymní uživatel. V závislosti na tom, co použije, by mohl získat kontrolu nad webem, spustit na něm nějaký kód v PHP, případně provést jiný útok.

Aktualizace je snadná, přejděte na Drupal 7.32. Stačí jen překopírovat soubory, oproti předchozí verzi nedochází k žádným změnám v databázi.

Další informace, včetně odpovědi na otázku, jak je to tedy s bezpečností Drupalu, najdete na www.drupal.org/node/2357241.