Bueno, parece que tendré que retirar el cartelito de "78 días sin actualizar Drupal", hoy mismo, aprovechando la resaca de la DrupalCamp Spain 2010, han salido las versiones 6.16 y 5.22.

Ambas actualizaciones incluyen solución a cuatro vulnerabilidades de seguridad, por ejemplo un cross site scripting si nos dejabamos nuestro sitio sin instalar, o que un usuario bloqueado podía mantener su sesión en el sitio a pesar de tener un estado no activo, más detalles. Además, la actualización de Drupal 6 incluye la solución para más de 30 bugs encontrados en la versión 6.15.

La actualización de Drupal 5 no incluye solución a ningún error ya que está a punto de ser sobrepasada por Drupal 7. Así que en cuanto salga la primera versión estable de Drupal 7, todas las instalaciones de Drupal 5 dejarán de tener soporte de seguridad.

Justo 3 meses después (91 días) de la última actualización de Drupal, esta noche han salido las versiones 6.15 y 5.21.

La actualización para Drupal 5 solamente incluye dos correcciones de problemas de seguridad relacionados con el cross site scripting (XSS), una que afecta al módulo Contact que permite a usuarios con suficientes privilegios crear categorías e insertar HTML o scripts maliciosos para conseguir permisos de administración. La otra es similar y afecta al módulo de Menu.
La actualización para Drupal 6 incluye estas dos mismas correcciones de seguridad y además 28 correcciones de bugs, algunos de ellos de documentación. Uno de los cambios más importantes es el fichero .htaccess, que incluye modificaciones sobre las directivas de mod_expires.

Como siempre, es muy recomendable actualizar cuanto antes para evitar problemas, si no podemos aplicar la actualización completa, al menos sí el parche, éste para drupal 6.14 y éste otro para drupal 5.20.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso. También es muy recomendable este artículo de Cuenco Digital sobre los parches de Drupal.

Uno de los tweets de Dries ya me lo hizo sospechar esta tarde, y 76 días después de la última actualización de seguridad para Drupal, salen las versiones 6.14 y 5.20.

Drupal 6.14 incluye más de 50 correcciones entre bugs de seguridad, de código y documentación, mientras que la versión 5.20 tiene ocho correcciones.

Las vulnerabilidades más importantes que corrigen estas versiones están en su mayoría relacionadas con OpenID. La implementación de OpenID en el core de Drupal 6 permitía a usuarios malintencionados identificarse con cuentas de OpenID y vincularlas a usuarios ya existentes para así robar la identidad de otros usuarios. También se ha corregido este módulo para que incluya las especificaciones de OpenID 2.0.
Además, algunos de los ficheros subidos mediante file upload podían ser creados como ejecutables por Apache. El .htaccess que genera Drupal debería resolver este problema.
Finalmente, se corrige un problema con el id de la sesión que los usuarios anónimos siguen cuando se recupera un password mediante mail de confirmación. Hasta el momento ese id de sesión era reutilizable y podía ser utilizado en varias ocasiones. Esto último solo pasaba en Drupal 5.

En la nota de la release podéis encontrar más detalles.

Como siempre, es muy recomendable actualizar cuanto antes para evitar problemas, si no podemos aplicar la actualización completa, al menos sí el parche, éste para drupal 6.13 y éste otro para drupal 5.19.

Han pasado 49 días desde la última actualización de seguridad para Drupal que nos dejó el versionado en la 6.12 / 5.18 y hoy mismo ha salido una nueva versión que corrige vulnerabilidades.
Este nuevo parche proporciona una solución para varias debilidades de seguridad en el core de Drupal

• Un problema en la obtención de los argumentos de la URL en el módulo forum de la versión 6.x hace que nuestro sitio sea vulnerable a Cross Site Scripting.
• Al modificar el formato de entrada de los comentarios, si estos tienen un formato demasiado permisivo (como full html o incluso php filter), permite, en Drupal 6, que los usuarios puedan inyectar código a través de sus firmas.
• Si un usuario se equivoca en los datos de login en una página que contiene tablas con cabeceras "ordenables", los datos son incluidos en la tabla, haciéndolos visibles a través de links a usuarios maliciosos, esto pasa tanto en drupal 5 como drupal 6.

Además, la versión 5.19 contiene la corrección de dos bugs mas y la 6.13 contiene hasta 24 modificaciones, entre corrección de bugs y temas de documentación.

Como siempre, es muy recomendable actualizar cuanto antes para evitar problemas, si no podemos aplicar la actualización completa, al menos sí el parche, éste para drupal 6.12 y éste otro para drupal 5.18.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso.

Apenas nos habíamos recuperado de la última actualización y toca nueva versión, tanto en 6.x como en 5.x.
Parece ser que el último parche (http://drupal.org/node/449078) arreglaba problemas de XSS (Cross Scripting), pero no solucionaba por completo la vulnerabilidad y han tenido que completarlo con esta actualización.
La versión 6.12 además del parche de seguridad, incluye cuatro soluciones a errores menores y la 5.18 incorpora cinco correcciones.
Es muy recomendable actualizar cuanto antes para evitar problemas con la vulnerabilidad de seguridad, si no podemos aplicar la actualización completa, al menos sí el parche, éste para drupal 6.11 y éste otro para drupal 5.17. Ojo, es necesario haber actualizado antes a 6.11 o 5.17, no se deben aplicar estos parches a versiones anteriores.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso.

Llevabamos tiempo sin tener que actualizar nuestros sitios en Drupal 6.10, en concreto desde el 26 de Febrero, y 63 días después sale una nueva versión por motivos de seguridad. Creo que es un timing más que razonable.
En esta ocasión parece ser un problema de Cross Site Scripting (XSS) que afecta a los formularios presentados en portada (al de login no le afecta) cuando se navegan los sitios en Internet Explorer 6 o 7, tenéis más detalles en el aviso de seguridad.
Las opciones disponibles son las habituales, actualizar el sitio a Drupal 6.11 en caso de disponer de una 6.x o a Drupal 5.17 en caso de tener instalada una 5.x. En caso de que no queráis actualizar o no os venga bien en este momento, es muy recomendable que apliquéis el parche de seguridad hasta que podáis actualizar la versión completa. Para Drupal 6.10 es este, y para Drupal 5.16 este otro.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso.

La nueva versión de Drupal 5.17 además incorpora 9 fixes adicionales y la de Drupal 6.11 cerca de 40.

Con un mes de diferencia sale una nueva actualización de seguridad para Drupal, tanto en las versiones 5.x como en las 6.x.
Parece que en este caso el problema está en el módulo Content Translation, que permite a los usuarios con el privilegio 'translate content' acceder a contenido sobre el que no tienen permisos. Además, si se tiene activada la funcionalidad de fotos en el perfil, se puede validar un usuario con un nombre o e-mail no permitidos.
Parece que también ha habido algún reporte de SQL Injection, podéis acceder a la explicación completa de seguridad aquí y también están disponibles los logs de cambios, para Drupal 5 y para Drupal 6.
Es muy recomendable actualizar lo antes posible, o al menos aplicar el parche de seguridad que proporcionan desde Drupal.org, si estáis en Drupal 5.14, este parche, y si estáis en Drupal 6.8 este otro.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso.

Para que os lleguen este tipo de avisos de seguridad, pasaos por la página del grupo de seguridad en drupal.org y desde allí podréis subscribiros.

Ayer se anunciaba la salida de las actualizaciones drupal 6.7 y 5.13 con un buen puñado de parches de seguridad y errores corregidos, unas versiones cuyas fechas están bastante planificadas y que aglutinan muchas issues que se agrupan para evitar la acumulación de releases o lo que podríamos llamar "efecto wordpress"

Tan solo un día despues salen dos nuevas versiones, la 6.8 y 5.14, y coincido con undomain en que es bastante extraño y no da mucha confianza, y por eso me he revisado las notas de la release con más detalle que habitualmente.

Parece ser que uno de los parches incluidos en las releases 6.7 y 5.13 hacía que las últimas versiones estables no fueran compatibles con PHP 4 (la incompatibilidad se puede ver en este comentario). Es decir, que si un sitio está ejecutándose en PHP 5 y ya ha actualizado a drupal 6.7 / 5.13, no hay una prisa real en aplicar el parche para la 6.8 / 5.14.

Esto me hace pensar dos cosas:
- ¿Por qué la gente sigue utilizando PHP 4? Go PHP5!! (curiosamente gophp5 está hecho en drupal)
- Y lo más importante, este parche "apresurado" por cuestiones de compatibilidad, daña la imágen de Drupal como sistema haciendo que parezca menos estable de lo que en realidad es. Quizás deberían publicitar mucho más las "betas" de las releases planificadas (¿sin la parte de seguridad, para no dar pistas sobre vulnerabilidades antes de tiempo?) para que hubiera más gente probándolas y se redujera la posibilidad de este tipo de fallos. ¿Qué opináis al respecto?

Esta mañana me ha llegado un mensaje del grupo de seguridad de Drupal en el buzón de correo, eso significa que han sacado nuevas sub-versiones de seguridad y toca actualizar.
¡Justo cuando acababa de pasarme a Drupal 6!
El método de actualización de una sub-versión a otra (por ejemplo, de drupal 6.6 a drupal 6.7) es bastante simple, primero hacemos copia de seguridad de base de datos y ficheros, sobreescribimos los ficheros de nuestra aplicación con los de la nueva, que nos descargamos de drupal.org (sin sobreescribir el /sites!!), ponemos el sitio en mantenimiento (opcional) y accedemos a update.php, seguimos el proceso del interfaz, y voilà! ya estamos actualizados ;)

Aquí podéis ver el listado de parches incluidos en la versión 6.7 y 5.13.

Al ser una actualización de seguridad, la recomendación es hacerla lo antes posible, en caso de que no tengamos tiempo para aplicarla inmediatamente, es muy aconsejable aplicar los parches de seguridad hasta que podamos actualizar completamente. El parche de seguridad para drupal 6 es este y para drupal 5 este.

Si tenéis dudas de cómo se aplican estos parches, en drupal.org hay un paso a paso.

Para que os lleguen este tipo de avisos de seguridad, pasaos por la página del grupo de seguridad en drupal.org y desde allí podréis subscribiros.

Este fin de semana he estado actualizando un par de sitios, entre ellos este blog de drupal 5 a drupal 6 y os traslado el paso a paso que he seguido, basándome en las páginas de upgrade que hay publicadas en drupal.org y el UPGRADE.txt que se distribuye con cada versión de drupal.

Nota importante: Si nuestro sitio está en drupal 4.7, no hay un método directo para actualizar a drupal 6, primero deberemos actualizarlo a drupal 5.

Preparativos iniciales

Antes de empezar a realizar la migración, deberemos revisar tanto las páginas del handbook dedicadas a la actualización, como el fichero UPGRADE.txt para tener claros los pasos a realizar.
Hay bastante material y consejos, incluso algún video dedicados a este tema, es conveniente revisar el material disponible hasta estar seguros y cómodos con el proceso.
Si el sitio o sitios que vamos a actualizar son realmente delicados, es mejor realizar primero alguna prueba de migración en un servidor local.

Importante: Antes de empezar, hay que asegurarse que todos los módulos que vamos a necesitar tengan su correspondiente versión en drupal 6. En caso contrario, deberemos plantear alguna alternativa y revisar como adaptar los datos que ya tengamos.
Para esto podemos utilizar el módulo Upgrade Status que comprueba por nosotros si los módulos que estamos utilizando tienen una versión disponible portada a drupal 6. Es necesario haber instalado el Update Status y ambos se deben desinstalar antes de realizar la actualización! (gracias a Lokiyo por la recomendación del Upgrade Status)