 Jakiś czas temu, użytkownicy portalu podróżnych PKP mieli problem z przeglądaniem zawartości strony spowodowany błędem połączenia z bazą danych. Przy okazji wyszło na jaw, że portal ten wykorzystuje popularny CMS Drupal.
Oczywiście sam fakt wykorzystania Drupala zasługuje na pochwałę za używanie wolnego oprogramowania. Jednak drążąc sprawę można się niestety dowiedzieć, że wykorzystywana wersja nie należy do najnowszych. Fakt ten odkrył Piotr Konieczny przeglądając plik http://rozklad-pkp.pl/CHANGELOG.txt. Okazuje się, że używana jest tutaj wersja 5.10 z sierpnia 2008 roku. Obecnie najnowsza wersja to 5.16.
Jeżeli administratorzy portalu nie dokonują ręcznych aktualizacji, to niestety wersja 5.10 jest podatna na wiele ataków. Jeden z błędów pozwalał na atak typu XSS, a inne np na SQL Injection.
Źródło: http://www.heise-online.pl/ |
