Drupal repareert drie lekken, waarvan één kritiek

In zowel Drupal 4.6 als 4.7 versies, bevonden zich kritieke veiligheidslekken.
Het volledige bericht vindt u hier: drupal.org/drupal-4.7.4

Het betreft drie gerepareerde lekken.

DRUPAL-SA-2006-024: Door speciaal opgemaakte RSS feeds, die in uw RSS aggregator (verzamelaar) draaien, kunnen mensen code injecteren op de "log" pagina (de watchdog). Matig kritiek.

DRUPAL-SA-2006-025: Een sessie, van bijvoorbeeld de superuser (de eerste gebruiker), kan door een speciale pagina, eender waar op het web, worden overgenomen. Hierna kan de eigenaar van die pagina, informatie posten alsof hij deze superuser is. Zeer kritiek.
Opmerking voor gebruikers van 4.6 Drupal met handgemaakte formulieren (welke geen Drupal APIs gebruiken): De formulieren zullen aangepast moeten worden. Een aantal modules en themes op drupal.org vallen hier ook onder.

DRUPAL-SA-2006-026: Via een speciaal gemaakte pagina kan iemand alle formulierinvoeren doorsturen naar een andere plek. Het is bijvoorbeeld mogelijk om zo de in-loggegevens door te sturen naar een andere website en daarmee de gebruikersnaam en paswoorden af te vangen.

Auteur: 
Bezoeker
Bookmark and Share

Drupal is een geregistreerd merk van Dries Buytaert. | Powered by Pantheon.

Drupal.be/Drupal.nl is de website van de Nederlandstalige Drupalgemeenschap.

onomatopee