本日、2つのセキュリティ上の脆弱性と、いくつかのバグを修正した Drupal 5.2 / 4.7.7 が公開されました。
危険度が中程度の脆弱性を含むため、これ以前のバージョンを使用しているユーザは早急にアップグレードすることをお勧めいたします。

アップグレード方法と、今回修正された脆弱性については以下を参照してください。

リリース発表：

• Security updates and bugfixes available: Drupal 5.2 and 4.7.7 released

ダウンロード：

• Drupal 5.2
• Drupal 4.7.7

※ 今回のアップグレードでは、sites/default/settings.php の置き換えも必要となりますので注意してください。

発見・修正された脆弱性

1. 悪意のあるユーザによるCSRF攻撃のおそれ（Drupal 5.x のみ）
2. 悪意のあるユーザによるXSS攻撃のおそれ（Drupal 4.7.x / 5.x）

アップグレード方法

1. まず既存の Drupal インストールディレクトリ以下のすべてのファイルと、データベースのバックアップを取ります
2. ダウンロードしたファイルを任意のディレクトリに解凍します
3. 解凍したファイルから ".htaccess" を削除します
   （※ .htaccess に mbstring 関連の設定が追加されていますが、当サイトでの「おまじない」を適用している場合には削除しても問題ありません。 ただし、気になる場合には、削除せずに古いものとマージして置き換えてください。）

4. 既存・新規両バージョンの sites/default/settings.php をエディタで開き、既存の settings.php から以下の行（実際には自身の環境に値が変更されています）をコピーし、新規の settings.php を書き換えます

   $db_url = 'mysql://username:password@localhost/databasename';
   $db_prefix = '';
   

5. 上記ファイルで既存の Drupal を上書きします

6. update.php を実行します