E’ passato qualche mese dall’uscita di Drupal 5.2 e Drupal 4.7.7. Stamattina, leggendo le mail, mi sono trovato di fronte a 6 bug critici segnalati attraverso la mailing list dei Security Announcements. Non solo anche Token e Pathauto sono afflitti da due bug altrettanto critici.

Quindi per tutti gli utilizzatori e per tutti i webmasters che amministrano un sito in Drupal, l’aggiornamento è altamente (ma molto altamente!) consigliato, sia per il core di Drupal che per i due moduli buggati.

Le utlime versioni sono quindi Drupal 5.3 (ramo stabile 5.x) e Drupal 4.7.8 (ramo 4.7.x, che fra non molto tempo sarà abbandonato).

Due bug di sicurezza sono rispettivamente Higly Critical e Critical e possono mettere in serio pericolo il vostro spazio web e il vostro database. L’highly critical riguarda il sottovalutato installer.php (Arbitrary code execution via installer)e PHP (Public service announcement: PHP exploit using Drupal circulating).

Il workaround per l’install.php sarebbe eliminarlo, ma aggiornare alla 5.3 è cmq sicuro dato che il problema è stato risolto subito.

Per il problema PHP (è possibile usare Drupal per sfruttare un alla 4.4.3 o 5.1.4.

Per gli altri fix, segnalati dal security team, è sufficiente aggiornare tutta la cartella modules e includes, contenenti i files contenenti i bug.

Files buggati: user.module, upload.module, comment.module, system.module e common.inc.

Buona norma è cmq sostituire le due cartelle e tutta la root. Nel mentre è uscito Drupal 6 beta 2