Drupal

Date モジュールのセキュリティ更新

投稿者: shirane　日付: 2009-09-17 (木) 23:11

Posted in

CCK の日付フィールドで使っている Date モジュールのセキュリティ更新があった。

SA-CONTRIB-2009-057 - Date - Cross Site Scripting
http://drupal.org/node/579144

日付フィールドの書き込みができるユーザーについて XSS の脆弱性があるらしい。
そっくり置き換えて、いまのところ特に問題なし。
懸案だった、ある不具合も直っていたのでよかった。

Search モジュールで「ー」が認識されない問題

投稿者: shirane　日付: 2009-06-18 (木) 00:30

Posted in

Drupal 標準の Search モジュールで検索する際、検索後に文字「ー」が含まれていると、その位置が空白に置き換えられて検索が実行されるという問題
http://groups.drupal.org/node/23298

実際に「メール」という 3 文字のキーワードで実行してみると、確かに

「3文字以上のキーワードを、最低でも1つは入力してください。」

という意味不明のエラーメッセージが表示される。
D5 でも D6 でも同じ。

groups.drupal.org/japan で質問が出て間もなくパッチが公開
http://drupal.org/node/493770

早速適用して見事に問題が解決。
パッチは D6 用のようだけれど、D5 にもそのまま使えました。
感謝！

Webform モジュール

投稿者: shirane　日付: 2009-06-17 (水) 10:11

Posted in

サイトへのお問い合わせフォームを作るときに便利なモジュール。
http://drupal.org/project/webform

CCK みたいな感じで、問い合わせフォームの入力項目を定義できる。送信された内容はメール通知のほかデータベースにも記録され、後でまとめて CSV などの形式でダウンロードすることも可能。

同じ目的でコアの Contact モジュールを使おうとすると、Personal Contact を無効にできない問題に悩むかもです。
http://drupal.org/node/270545
http://drupal.org/node/365008

Drupal コアの更新（5.16、6.10）

投稿者: shirane　日付: 2009-02-26 (木) 12:03

Posted in

重大なセキュリティ脆弱性の修正を含む Drupal コアのメンテナンスリリースが公開
http://drupal.org/drupal-6.10

Drupal 5.16 のリリースノート
http://drupal.org/node/384038
Drupal 6.10 のリリースノート
http://drupal.org/node/383918

今回のリリースで修正された脆弱性に関するセキュリティアナウンス
SA-CORE-2009-003 - Local file inclusion on Windows
http://drupal.org/node/383724
SA-CORE-2009-004 - Local file inclusion on Windows
http://drupal.org/node/384024

応急的なセキュリティ対策用パッチ
http://drupal.org/files/sa-core-2009-004/SA-CORE-2009-004-5.15.patch
http://drupal.org/files/sa-core-2009-003/SA-CORE-2009-003-6.9.patch

Windows 上でホストしている Drupal 環境で特に要注意か。
なお、6.10 では一部コアモジュールでデータベーススキーマが更新されているので、そちらの更新操作も必要。また、module、includes、themes 配下のファイルのほかに、install.php も更新されている模様。