Nueva actualización de seguridad para el core de Drupal, versiones 6.14 y 5.20

Uno de los tweets de Dries ya me lo hizo sospechar esta tarde, y 76 días después de la última actualización de seguridad para Drupal, salen las versiones 6.14 y 5.20.

Drupal 6.14 incluye más de 50 correcciones entre bugs de seguridad, de código y documentación, mientras que la versión 5.20 tiene ocho correcciones.

Las vulnerabilidades más importantes que corrigen estas versiones están en su mayoría relacionadas con OpenID. La implementación de OpenID en el core de Drupal 6 permitía a usuarios malintencionados identificarse con cuentas de OpenID y vincularlas a usuarios ya existentes para así robar la identidad de otros usuarios. También se ha corregido este módulo para que incluya las especificaciones de OpenID 2.0.
Además, algunos de los ficheros subidos mediante file upload podían ser creados como ejecutables por Apache. El .htaccess que genera Drupal debería resolver este problema.
Finalmente, se corrige un problema con el id de la sesión que los usuarios anónimos siguen cuando se recupera un password mediante mail de confirmación. Hasta el momento ese id de sesión era reutilizable y podía ser utilizado en varias ocasiones. Esto último solo pasaba en Drupal 5.

En la nota de la release podéis encontrar más detalles.

Como siempre, es muy recomendable actualizar cuanto antes para evitar problemas, si no podemos aplicar la actualización completa, al menos sí el parche, éste para drupal 6.13 y éste otro para drupal 5.19.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso.

Añadir nuevo comentario