U radu programskog paketa Drupal, odnosno u njegovom dodatku Fusion, uočen je sigurnosni nedostatak. Riječ je o paketu koji omogućava lako objavljivanje, upravljanje i organizaciju raznih sadržaja na web stranicama. Spomenuti propust posljedica je neispravne provjere ulaznih podataka predanih putem parametra "q" u funkciji "fusion_core_preprocess_page()". To se može iskoristiti za pokretanje proizvoljnog HTML i skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane stranice. Svim se korisnicima preporuča odgovarajuća nadogradnja.

_______________________________________________________________________________

ID upozorenja: ADV-LSS-2012-04-023
Naslov: Propust programskog paketa Drupal
Datum: 2012-04-05
OS: Windows, Linux/UNIX 
Programski paket: Drupal
Tip sigurnosnog problema: XSS napad
Rizik: Malen
_______________________________________________________________________________

[1]  Uvod

Prilikom u potrebe programskog paketa Drupal, odnosno njegovog dodatka Fusion,
uocen je sigurnosni nedostatak.

Rijec je o CMS (eng. Content Management System) sustavu koji se koristi za upravljanje 
web sadrzajima. Fusion je jednostavan dodatak koji se koristi za izradu naprednih Drupal tema.  

Vise informacija dostupno je na sljedecim web adresama:

Drupal:
http://drupal.org/

Drupal Fusion:
http://drupal.org/project/fusion 

-------------------------------------------------------------------------------

[2]  Sigurnosni problem

Ranjivost uocena u radu programskog paketa Drupal napadacima omogucuju izvodjenje 
XSS (cross-site scripting) napada.

-------------------------------------------------------------------------------

[3]  Sigurnosna zastita

Svim se korisnicima preporuca nadogradnja na nove inacice 6.x-1.13.

-------------------------------------------------------------------------------

[4]  Analiza

Ulazni podaci predani putem parametra "q" nisu ispravno provjereni u funkciji 
"fusion_core_preprocess_page()", odnosno u datoteci fusion_core/template.php. Napadaci to mogu iskoristiti za pokretanje proizvoljnog HTML i skriptnog koda u korisnikovom pregledniku u kontekstu posebno oblikovane stranice. 

Ranjivost je potvrdjena u inacicama prije 6.x-1.13.

-------------------------------------------------------------------------------

[5]  Credit

Informacije o propustima otkrili su:

- Jakub Suchy iz Drupal Security Team, 
- Justin Emond, 
- Rick Manelius, 
- Abhishek Nagar,
- Chris Lee.

Tekst izvorne preporuke nalazi se na sljedecoj adresi:

SA-CONTRIB-2012-055:
http://drupal.org/node/1507510

-------------------------------------------------------------------------------

[6]  LSS/ZESOI/FER  

LSS, www.lss.hr - laboratorij za sustave i signale pri Zavodu za elektronicke 
  sustave i obradbu informacija Fakulteta elektrotehnike i racunarstva  
  Sveucilista u Zagrebu  

_______________________________________________________________________________