Вышли Drupal 5.13 и 6.7!!!
Множественные уязвимости и слабые места были найдены в Drupal.
Подделывание запросов на другие сайты (Cross site request forgery)
Система обновлений содержит уязвимость к подделыванию запросов на другие сайты.
Злонамеренные пользователи могут использовать суперпользователя (user 1) для выполнения старых обновлений, которые приводят к разрушению базы данных.
Cross site scripting
Когда формат ввода удален, не весь существующий контент на сайте обновлен, чтобы отобразить это удаление. Подобный контент отображеется без фильтрации. Это может привести к атакам cross site scripting, когда вредные теги больше не исключатся из "злонамеренного" контента, который был размещен ранее.
Затронутые версии
Drupal 5.x версии ниже 5.13
Drupal 6.x версии ниже 6.7
Решение
Установить последнюю версию:
Drupal 5.x - обновиться до Drupal 5.13.
Drupal 6.x - обновиться до Drupal 6.7.
Обратите внимание: файлы robots.txt и .htaccess были изменены и должны быть замещены.
Файл settings.php НЕ был изменен и может быть оставлен как есть, если обновляется текущая версия Drupal.
Если вы не можете обновиться немедленно, вы можете применить патч для того, чтобы обезопасить свою установку, пока вы не сможете сделать полное обновление. Патчи исправляют уязвимости, но не содержат изменений, которые есть в этих версиях
Для Drupal 5.12 используете патч SA-2008-073-5.12.patch.
Для Drupal 6.6 используете патч SA-2008-073-6.6.patch.
Сообщил
Обе уязвимости обраружил David Rothstein (David_Rothstein).
