Súlyos biztonsági rés a drupal DBA moduljában

iolah képe

Ezen a címen ?q=admin/database/table/users/view
pl elérhetőek lesznek a felhasználói adatok.
De bármi lekérdezhető lesz....
csak írd a táblázat nevét az users helyére.
Megoldás-> ne használd a modult...

iolah képe

Már készítettem bug reportot és szóltam a modul fejlesztőjének.

0
0
iolah képe

Updates
#1 submitted by chx on March 24, 2005 - 08:27
Status: active ? fixed

Fixed. Both 4.5 and HEAD.
#2 submitted by chx on March 24, 2005 - 08:41
Status: fixed ? active

4.6 too. Checked 4.4 -- it is OK.
#3 submitted by chx on March 24, 2005 - 08:41
Status: active ? fixed
#4 submitted by sepeck on March 24, 2005 - 08:46

tested patched version succesful on 4.5 and CVS

0
0
chx képe

használhatod, csak a frisset tessék használni :)

Egyébként. Mindenkinek mondjuk, hogy a dba az vész esetére való -- ne tessék éles site-on folyamatosan bekapcsolva tartani, ettől a sechole-tól függetlenül.

Ha valaki máskor sechole-t talál, akkor jöjjön IRC-re a #drupal-ra és kezdjen ordítani bátran. Biztos talál egy fejlesztőt, aki gyorsan meghegeszti a témát. Most is ez történt: sepeck észrevette, hogy mi van, elkezdte félreverni a harangokat, én meg villámgyorsan összeütöttem valamit, ő letesztelte, aztán commit.

0
0
iolah képe

A munkahelyemről nem tanácsis IRC-zni.
Amúgy gratula a gyors megoldáshoz...
ÜDv
I

0
0
chx képe

komolyan, miután egyszer megértettem, hogy működik a menü rendszer (leírtam itt a kézikönyvben is) azután egy ilyet megjavítani szó szerint másodpercek műve.

0
0