il Blog di Psicomante - Aggiornamenti di sicurezza per Drupal: uscite le versioni 5.3 e 4.7.8 - Comments

Ops, prima m son dimenticato

FiNeX — Mon, 22 Oct 2007 12:10:48 +0200

Ops, prima m son dimenticato di scrivere chi sono

Se ci provo con aruba mi

drupillo anonimo — Mon, 22 Oct 2007 12:09:42 +0200

Se ci provo con aruba mi sega le connessioni. Inoltre prima di sostituire i file in remoto prima faccio il backup dei file e del DB. La cosa che mi ha fatto perdere più tempo però è stato l'aggiornare un paio di siti con delle modifiche al core, che però ora ho eliminato e spostato all'esterno, altrimenti ogni aggiornamento diventa un casino.

Io ho aggiornato 12 siti in

psicomante — Fri, 19 Oct 2007 16:39:35 +0200

Io ho aggiornato 12 siti in veramente poco tempo; il metodo? 12 istanze FTP e upload parallelo

L'unico problema è che se

FiNeX — Fri, 19 Oct 2007 11:36:01 +0200

L'unico problema è che se si devono aggiornare molti siti, bisogna farli uno ad uno a manina, idem per i moduli. Ho passato tutta la mattinata di ieri ad aggiornare.

Aggiornamenti di sicurezza per Drupal: uscite le versioni 5.3 e 4.7.8

psicomante — Thu, 18 Oct 2007 22:57:18 +0200

E' passato qualche mese dall'uscita di Drupal 5.2 e Drupal 4.7.7. Stamattina, leggendo le mail, mi sono trovato di fronte a 6 bug critici segnalati attraverso la mailing list dei Security Announcements. Non solo anche Token e Pathauto sono afflitti da due bug altrettanto critici.

Quindi per tutti gli utilizzatori e per tutti i webmasters che amministrano un sito in Drupal, l'aggiornamento è altamente (ma molto altamente!) consigliato, sia per il core di Drupal che per i due moduli buggati.

Le utlime versioni sono quindi Drupal 5.3 (ramo stabile 5.x) e Drupal 4.7.8 (ramo 4.7.x, che fra non molto tempo sarà abbandonato).

Due bug di sicurezza sono rispettivamente Higly Critical e Critical e possono mettere in serio pericolo il vostro spazio web e il vostro database. L'highly critical riguarda il sottovalutato installer.php (Arbitrary code execution via installer)e PHP (Public service announcement: PHP exploit using Drupal circulating).

Il workaround per l'install.php sarebbe eliminarlo, ma aggiornare alla 5.3 è cmq sicuro dato che il problema è stato risolto subito.

Per il problema PHP (è possibile usare Drupal per sfruttare un alla 4.4.3 o 5.1.4.

Per gli altri fix, segnalati dal security team, è sufficiente aggiornare tutta la cartella modules e includes, contenenti i files contenenti i bug.

Files buggati: user.module, upload.module, comment.module, system.module e common.inc.

Buona norma è cmq sostituire le due cartelle e tutta la root. Nel mentre è uscito Drupal 6 beta 2...