投稿者: shirane 日付: 2009-07-02 (木) 23:48
Posted in
セキュリティ修正を含む Drupal コアの更新がありました。
http://drupal.org/drupal-6.13
修正される脆弱性は、
- Forum モジュールの XSS。
- コメントの入力書式の変更とシグニチャの書き換えで任意のHTMLが埋め込まれる可能性。
- 外部サイトへのリンクを含む並べ替え機能付きの表が表示されるページからログインしようとして失敗すると、そのときに入力したユーザ名とパスワードがURLに含まれた状態となって、リファラー経由でそれらの入力値が外部サイトにリークしてしまう問題。(誤入力データが Drupal のキャッシュから漏れるケースもあるらしい)
といったもののようです。
今回は .htaccess への修正はありませんでしたが、settings.php に次の行が追加されることから、一応 php.ini の設定を見直しました。
ini_set('session.use_cookies', 1);
あと、D6 で system モジュールのデータベーススキーマに更新があり、update.php の実行が必要でした。
当方で運用を担当しているサイトは、今のところ特に問題なく動作しています。