Come spesso succede, ad un aggiornamento di sicurezza per Joomla segue un nuovo rilascio di Drupal per gli stessi motivi (o viceversa), in ogni caso è molto raro che questi due content managers non vengano aggiornati a pochi giorni di distanza l'uno dall'altro. Il rilascio di Drupal 6.9 e 5.15 non fa eccezione ed è stato reso disponibile a breve distanza da quello di Joomla 1.5.9.
Aspettando Drupal 7 (mentre la comunità di Joomla attende con ansia la release 1.6), il team di sviluppo ha sfornato una doppia "maintenance release" in cui sono stati corretti alcuni malfunzionamenti, sono state aggiunte alcune nuove funzionalità e, soprattutto, sono state eliminate 3 vulnerabilità critiche. Inutile dire quindi che l'aggiornamento alle nuove releases è fortemente raccomandato.
I particolari sulle vulnerabilità rilevate sono ampiamente descritti nell'apposito bollettino di sicurezza pubblicato su Drupal.org, è possibile comunque proporli in sintesi:
- possibilità di bypassare le normali restrizione per l'accesso e la visualizzazione di nodi non pubblicati;
- possibilità di bypassare la funzione di validazione per i profili utente fornendo username o indirizzi email non validi;
- pericolo di SQL injection a causa di parametri non validati adeguatamente all'interno delle query SQL.
Le prime due vulnerabilità sono a carico unicamente delle precedenti versioni di Drupal 6.x, mentre l'ultima coinvolge sia la versione 5.x che la 6.x del CMS.
Per coloro che non possono effettuare immediatamente un upgrade, sempre nella pagina del bollettino di sicurezza sono disponibili due patch che però prevedono unicamente la correzione delle vulnerabilità .
