Сайты клиентов обновлены до Drupal 7.38

Сайты клиентов, заключивших договор техподдержки с SStudio, переведены на новейшую версию Drupal 7.38.

Это критическое обновление безопасности, и всем клиентам, которые не заключили с нами договор техподдержки, мы рекомендуем немедленно обновить свои сайты.

Выявленные уязвимости касаются работы нескольких распространенных модулей:

• OpenID - раскрыта возможность злоумышленнику войти через OpenID (например, ЖЖ) в любой аккаунт на сайте, в том числе администраторский, и захватить его.
• Field UI - использование параметра запроса в URL для перенаправления на целевую страницу после завершения действий позволяет злоумышленнику использовать этот параметр для построения ложного URL и перенаправления на чуждый сайт.
• Overlay - наложение административных страниц использует ява-скрипт, и недостаточно проверяет адреса до отображения содержимого страниц, что приводит к открытой уязвимости переадресации.
• Render cache system - при кэшировании по ролям содержимое просмотра пользователя №1 может быть доступно в кэше непривилегированным пользователям.

Обновление до версии Drupal 7.38 полностью закрывает описанные уязвимости.