脆弱性を修正した Drupal 5.2 / 4.7.7 がリリース

投稿者: webmaster 投稿日時: 2007-07-27 (金) 15:22   | |

本日、2つのセキュリティ上の脆弱性と、いくつかのバグを修正した Drupal 5.2 / 4.7.7 が公開されました。
危険度が中程度の脆弱性を含むため、これ以前のバージョンを使用しているユーザは早急にアップグレードすることをお勧めいたします。

アップグレード方法と、今回修正された脆弱性については以下を参照してください。

リリース発表:

ダウンロード:

※ 今回のアップグレードでは、sites/default/settings.php の置き換えも必要となりますので注意してください。

発見・修正された脆弱性

  1. 悪意のあるユーザによるCSRF攻撃のおそれ(Drupal 5.x のみ)
  2. 悪意のあるユーザによるXSS攻撃のおそれ(Drupal 4.7.x / 5.x)

アップグレード方法

  1. まず既存の Drupal インストールディレクトリ以下のすべてのファイルと、データベースのバックアップを取ります
  2. ダウンロードしたファイルを任意のディレクトリに解凍します
  3. 解凍したファイルから ".htaccess" を削除します
    (※ .htaccess に mbstring 関連の設定が追加されていますが、当サイトでの「おまじない」を適用している場合には削除しても問題ありません。 ただし、気になる場合には、削除せずに古いものとマージして置き換えてください。)
  4. 既存・新規両バージョンの sites/default/settings.php をエディタで開き、既存の settings.php から以下の行(実際には自身の環境に値が変更されています)をコピーし、新規の settings.php を書き換えます

    $db_url = 'mysql://username:password@localhost/databasename';
    $db_prefix = '';
    
  5. 上記ファイルで既存の Drupal を上書きします

  6. update.php を実行します