Drupal 6.14, Drupal 5.20 — Обновление

Вышли новые версии — Drupal 6.14 и Drupal 5.20, рекомендуется обновиться всем. После обновления не забываем выполнять скрипт update.php.

Немного о самих уязвимостях:
1. Возможность подделка HTTP-запросовс OpenId в drupal 6 (недостаточно проработанная работа с FAPI).
2. Возможность входа через OpenId в drupal 6 от имени чужого пользователя (несоответствие спецификации OpenID Authentication 2.0).
3. Возможность загрузки exe-файлов через File Upload в drupal 6 (неправильная обработка некоторых расширений в File API, уязвимость возможна, если включена директива игнорировать .htaccess в папках).
4. Исправление в сессиях в drupal 5 (не обновляется ID сессии, когда пользователь заходит по ссылке подтверждения email или восстановления пароля, что даёт злодею использовать этот ID).