Kumpulan pembangun Sistem Portal Drupal telah mengumumkan penerbitan sekuriti Drupal 6.4 dan Drupal 5.10. Semua pengguna Sistem Portal Drupal, anda dinasihatkan agar dapat meningkatkan versi anda kepada versi ini. Tidak terdapat sebarang fungsi baru di dalam versi ini, hanya pembetulan masalah sekuriti.

Masalah sekuriti di dalam sistem portal versi sebelum versi 6.4 dan 5.10 adalah seperti berikut.

1. Skrip Silangan Laman (Cross Site Scripting)

Satu masalah di dalam tapisan output yang diguna pakai oleh Drupal membolehkan ahli memasukkan skrip silangan laman (atau lebih dikenali sebagai XSS). Masalah di dalam sistem fail peribadi yang mempercayai bulat-bulat MIME type yang diberi oleh pelayar laman web (web browser) membolehkan mereka yang tidak bertanggungjawab untuk memuat naik fail untuk melaksanakan serangan XSS.

Masalah ini wujud di dalam kedua-dua siri Drupal 5.X dan Drupal 6.X.

2. Muatnaik fail melalui BlogAPI rawak.

Modul BlogAPI tidak membuat pengesahan kepada jenis fail yang dimuat naik, membolehkan ahli yang diberi had kebenaran untuk "mengurus kandungan menggunakan BlogAPI" untuk memuat naik fail-fail skrip yang tidak bertanggungjawab.

Masalah ini wujud di dalam kedua-dua siri Drupal 5.X dan Drupal 6.X.

3. Permohonan Silangan Laman Palsu

Borang-borang di dalam Drupal mempunyai token untuk menapis permohonan silangan laman yang palsu. Namun token ini mungkin tidak disahkan dengan tepat untuk borang yang dicachekan dan borang yang mengandungi element AHAH.

Masalah ini wujud hanya di dalam siri Drupal 6.X.

Peraturan akses ahli boleh ditambah dan dipadam dengan mengakses URL tertentu, menyebabkan pengubahsuaian sedemikian terdedah kepada permohonan silangan laman palsu. Ini boleh menyebabkan penambahan dan pemadaman kepada had kebenaran ahli boleh dilakukan oleh mereka yang mendapat akses tertentu.

Masalah ini wujud di dalam kedua-dua siri Drupal 5.X dan Drupal 6.X.

4. Masalah di dalam pelbagai modul muat naik.

Modul muat naik (upload) di dalam Drupal 6 mempunyai ciri peningkatan taraf ahli bagi ahli yang mempunyai had kebenaran untuk memuat naik fail. Ini membolehkan ahli mengubahsuai node yang tidak sepatutnya, memadam mana-mana fail di dalam pelayan web, dan memuat turun fail yang tidak diberikan akses kepadanya. Fail-fail yang merbahaya juga mungkin boleh dimuat naik melalui permohonan silangan laman palsu.

Masalah ini hanya wujud di dalam siri Drupal 6.X.

Untuk itu, semua pengguna Sistem Portal Drupal anda dinasihatkan agar dapat meningkatkan sistem portal Drupal anda kepada versi ini. Sekiranya anda tidak mahu menaikkan versi ini sepenuhnya, anda boleh memilih untuk memuat turun fail-fail pembetulan. Namun fail-fal pembetulan hanya membetulkan masalah sekuriti yang diberitahu di atas dan tidak mengandungi pembetulan bagi masalah-masalah sekuriti kecil.