Bezpečnostní upozornění vydané dnes v noci zmiňuje další zranitelnosti v jádře redakčního systému Drupal. Středně kritickou chybou je postižena jak aktuální sedmičková verze, tak starší šestková řada. A perlička - stejný problém řeší i aktualizace pro WordPress.
Zranitelnost v Drupalu 7 a 6
Obě řady Drupalu obsahují podporu pro XML-RPC využívanou například pro blogovací programy. Potíž je v tom, že použitý PHP XML parser není odolný vůči různých útokům přes XML, které způsobují přetížení procesoru a vyčerpání volné paměti na serveru. Stejně tak může útočník docílit dosažení maximálního počtu spojení do databáze, které máte na serveru/hostingu nastaveno. To vše ruku v ruce způsobí, že web pak bude po útoku nedostupný.
Důležitá poznámka říká, že tímto potenciálním problémem a zranitelností jsou postiženy všechny instalace Drupalu, ať už na nich XML-RPC využíváte nebo ne. Podobná zranitelnost se týká i modulu Open ID, pokud jej máte na svém webu aktivován.
Mimochodem, podobnou zranitelností trpí i WordPress, pro který rovněž vyšla aktualizace 3.9.2. Máte-li zapnuty automatické aktualizace, pak vám možná přes noc přišlo několik mailových upozornění z vašich instalací WordPressu.
Aktualizujte tedy co nejdříve na Drupal 7.31 nebo 6.33, podle toho, jakou řadu používáte.
Aktualizace pro Biblio Autocomplete a Fasttoggle
Vyšly také dvě aktualizace pro doplňkové moduly Drupalu, konkrétně Biblio Autocomplete (automatické dokončování polí u uzlů typu Biblio) a Fasttoggle (vychytávka zrychlující publikování článků nebo blokování uživatelů).
První obsahuje vysoce kritickou chybu umožňující SQL injektáž a obejití přístupových práv, druhý trpí zranitelností "jen" těch přístupových práv. Oba moduly byste měli aktualizovat na nejnovější verzi.
Je tedy bezpečné Drupal používat?
Vždy, když se objeví podobná doporučení a informace o nalezené zranitelnosti, dostanu spoustu dotazů, zda je tedy vůbec bezpečné Drupal používat. Odpověď zní ano. Musíte se o něj ovšem starat. Že pro některé jiné redakční systémy nevychází tolik oprav, je dáno několika faktory. Ponejvíce tím, že je nezkoumá tolik lidí, takže klidně mohou mít skryté chyby, které nikdo neřeší.
Nelze tedy říci, že by Drupal nebyl bezpečný a byl nějak zvlášť zranitelný. Podobných problémů, jako je ten aktuální, mnoho nebývá, spíše jde o kombinace získání větších přístupů, než už někdo má, což jsou kombinace, které jsou na mnoha webech vyloučeny. Vidíte, že i WordPress obsahoval podobou chybu. Ať už tedy používáte cokoli, je potřeba o to pečovat.
Zdroj: Drupal Security Advisories