Dopo Joomla 1.5 e WordPress 2.3.2 ora è il turno di Drupal 6, anche questo CMS subisce il suo primo aggiornamemento di sicurezza a causa di un bug rilevato nella nuova versione. La corsa alla nuova release ha quindi mietuto un'altra vittima e gli utenti, che si stavano godendo da pochi giorni l'ultima versione di quello che rimane uno dei migliori Content Manager in circolazione, dovranno ora soddisfare l'ennesima richiesta di aggiornamento.
Il 27 Febbraio, cioè neanche 15 giorni dopo il rilascio della versione 6, Gà¡bor Hojtsy ha pubblicato nel sito ufficiale del CMS un articolo intitolato "Drupal 6.1 fixing security issues released"; il motivo di questo annuncio è da ricercarsi in un bug moderatamente critico rilevato nel core stesso della nuova versione di Drupal.
Il rischio è quello di cross site scripting (XSS) ed è dovuto al fatto che i titoli non vengono filtrati in modo adeguato nei form per l'editing delle pagine; tecnicamente vi sarebbe quindi la possibilità da parte di utenti malintenzionati di effettuare injection basate su codice HTML arbitrario o script con intenti malevoli.
A questo punto gli utilizzatori di Drupal hanno due possibilità :
- limitarsi a patchare la propria versione di Drupal 6;
- effettuare un upgrade passando definitivamente alla versione 6.1.
Il fatto che gli stessi sviluppatori di Drupal insistano con forza nel consigliare la seconda soluzione lascia poco spazio ai dubbi:
Applying the patches will leave your site in an unversioned state, confusing update status module, which will keep reminding you to upgrade to 6.1; but your site will at least be secure.
àˆ quindi giunto il momento di dire addio a Drupal 6, è già tempo di Drupal 6.1.
