Drupal 5.3 และ 6.0 beta 2 ออกมาแล้ว

เมื่อคืน Drupal ได้ปล่อยตัวอัพเดต 3 ตัวรวด

1. Drupal 4.7.8
2. Drupal 5.3
3. Drupal 6.0 beta 2

สองตัวแรกจะเป็นการแก้ไขข้อผิดพลาดด้านความปลอดภัยซึ่งมีทั้งหมด 5 จุด งานนี้ปล่อยออกมาก็อัพเกรดตามปกติไม่ยุ่งยากอะไร แต่ที่น่าสนใจคือบักที่เจอนี่แหละ เอามาให้ดูเป็นข้อคิด (ขอยกมาจาก Drupal Thailand)

1. มีบางครั้งที่เราสามารถส่ง url เพื่อให้ redirect ได้ อย่างเช่นตอนล็อกอิน บางคนอาจจะขี้โกงใส่ \r\n มาด้วย ซึ่งอาจมีผลให้สามารถส่ง header ไม่พึงประสงค์เข้ามา ปัญหานี้แก้โดยการตัด \r แฅะ \n ออกจาก url ให้หมด
2. อันนี้ดูจะร้ายแรงนิดนึง เมื่อก่อน Drupal จะยอมให้ติดตั้งใหม่ได้เมื่อเข้ามาที่ install.php แต่ปัญหานี้มักไม่เกิดขึ้นจริงเพราะไม่มีสิทธิ์แก้ไฟล์ settings.php ในภายหลัง ตอนนี้ไม่ยอมแล้ว
3. โมดูล upload อนุญาตให้อัพโหลดไฟล์นามสกุล .html ได้ ซึ่งไม่ค่อยจะดี ตอนนี้ค่าปกติคือห้าม
4. หน้าลบ user ไม่ได้มีการใช้ Forms API อย่างถูกวิธี อาจโดน XSS ได้ แก้แบบตรงไปตรงมา เขียนตามมาตรฐานก็จบ
5. อันนี้เป็นบักธรรมดา ไม่เกี่ยวกับความปลอดภัย แต่มีโมดูลหลายตัวต้องการเลยใส่เข้ามาด้วย

นับถึงปัจจุบันปีนี้ ทีมที่รับผิดชอบด้านความปลอดภัยของ Drupal เจอบักไปแล้ว 30 ตัว รวมหมดทั้งตัวแกนหลักและโมดูลเสริมทั้งหลายอีกพันกว่าตัว แต่ยังไม่มีรายงานการโจมตีแบบจังๆ สำหรับ 6.0 ตัวเต็มยังไม่มีกำหนดชัดเจน ถ้า critical bug หมดก็ออกเลย

ที่มา - Drupal (5.3), Drupal (6.0 beta 2), Drupal Thailand